【最佳实践】巡检项:TDSQL MySQL 版账号高危命令限制

2022-04-28 16:47:15 浏览数 (2)

问题描述

在日常数据库管理中,DROP,DELETE这类命令属于高危命令,因此需要各位注意并谨慎评估后操作。

如果非 root 账号拥有DROP,DELETE 等高危命令权限,可能会出现误删数据或者误删库表的风险。

解决方案

建议从实际业务需求角度触发,评估下具体账号是否真正需要DROP,DELETE 等全局权限,对于权限过大的账号通过修改账号权限功能来回收,去掉非必须的 DROP,DELETE 权限。

可以在实例详情的 【数据库管理】->【账号管理】->【修改权限】 中,去掉 DROP 和 DELETE 权限。

账号管理账号管理

planB

如果账号过多,也可以通过api功能来批量查询和修改。

查询账号列表

> 针对列表中的账号通过查询账号权限返回的【Privileges】过滤下,对于有高位命令权限的账号进行评估

>需要调整的,调用设置账号权限的接口进行调整即可。

注意事项

从安全性考虑,DROP 通常不建议作为业务上的操作,容易造成数据库的 IO 高峰/毛刺,影响数据库的稳定性,DELETE 可以根据实际情况评估是否要禁止。

0 人点赞