debian-sys-maint MySQLユーザー（およびその他）とは何ですか？

Ubuntuリポジトリからインストールされたmysql-serverパッケージにデフォルトでインストールされる「debian-sys-maint」ユーザーに何度か噛まれました。

一般的に、トラブルシューティングや新規開発のために本番データベース（Debian / Ubuntuで実行されていない）の新しいコピーを取得し、mysql.userテーブルを除外することを忘れてdebian-sys-maintユーザーを失います。

何らかの理由で新しいmysqlユーザーを追加する場合、テーブルを単にオーバーレイするのではなく、これらを開発環境に「マージ」する必要があります。

ユーザーがいなくても私のシステムは機能しているように見えますが、次のようなエラーに悩まされています。

sudo /etc/init.d/mysql restart
Stopping MySQL database server: mysqld...failed.
error: 'Access denied for user 'debian-sys-maint'@'localhost' (using password: YES)'

• debian-sys-maintは何に使用されますか？
  • パッケージメンテナーがやろうとしていることをするより良い方法はありますか？
• 紛失した後に復元する最も簡単な方法は何ですか？
• このユーザーの正しい/最小限の特権セットは何ですか？
  • 「*。* ...のすべての権限を付与する」という考えは良くないようです。

編集

追加の質問-/etc/mysql/debian.cnfのパスワードはすでにハッシュ化されていますか、それともプレーンテキストのパスワードですか？ユーザーを再作成するときに重要であり、最初の試行でそれを正しく取得することはできません。

ありがとう

debian-sys-maintは何に使用されますか？

使用される主なことの1つは、ログをロールするようにサーバーに指示することです。少なくともリロードおよびシャットダウン特権が必要です。

/etc/logrotate.d/mysql-serverファイルを参照してください

これは/etc/init.d/mysql、サーバーのステータスを取得するためにスクリプトによって使用されます。サーバーを正常にシャットダウン/リロードするために使用されます。

README.Debianからの引用です

* MYSQL WON'T START OR STOP?:
=============================
You may never ever delete the special mysql user "debian-sys-maint". This user
together with the credentials in /etc/mysql/debian.cnf are used by the init
scripts to stop the server as they would require knowledge of the mysql root
users password else.

紛失した後に復元する最も簡単な方法は何ですか？

最善の計画は、単にそれを失わないことです。パスワードを本当に紛失した場合は、別のアカウントを使用してリセットしてください。mysqlサーバーですべての管理者権限を失った場合は、ガイドに従ってルートパスワードをリセットし、を修復しdebian-sys-maintます。

このようなコマンドを使用して、後でアカウントを再作成するために使用できるSQLファイルを作成できます。

mysqldump --complete-insert --extended-insert=0 -u root -p mysql | grep 'debian-sys-maint' > debian_user.sql

/etc/mysql/debian.cnfのパスワードはすでにハッシュされていますか

パスワードはインストール時にハッシュ/暗号化されませんが、新しいバージョンのmysqlには資格情報を暗号化する方法があります（https://serverfault.com/a/750363を参照）。

debian-SYS-のmaintユーザーは、デフォルトであるルートと同等。Debianシステムの特定のメンテナンススクリプトで使用され、副作用として、ボックスのルートアクセス権を持つユーザーが/etc/mysql/debian.cnfのプレーンテキストパスワードを表示できるようにします（良いですか、悪いですか？）

次の方法でユーザーを再作成できます。

GRANT ALL PRIVILEGES on *.* TO `debian-sys-maint`@`localhost` IDENTIFIED BY 'your password' WITH GRANT OPTION;

ただ、パスワードが一致することを確認してください /etc/mysql/debian.cnfであること

次のこともできます。

sudo dpkg-reconfigure mysql-server-5.0

debian-sys-maintユーザーを再作成するオプションが提供されます。既存のユーザーとデータベースは安全です。

ただコメントしたかったのですが、正しい構文はそれ自身のエントリに値すると思います。これにより、debian-sys-maintユーザーが作成されます。

mysql> GRANT ALL PRIVILEGES on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'plaintextpassword' WITH GRANT OPTION; FLUSH PRIVILEGES;

/etc/mysql/debian.cnfファイルがまだある場合は、そこにパスワードを使用してください。

より偏執的な安全なソリューションを思いついてください。

あなたが追加する必要がある場合debian-sys-maintだけをユーザにlogrotate.d目的、あなたがすべきではない付与ALL PRIVILEGESまたはGRANT OPTION-これは、不必要な巨大なセキュリティホールです。代わりに、次のRELOADような特権を持つユーザーを追加するだけです（dbにアクセスするroot場合、xxxxxxをパスワードに置き換えます）。

# add the user with the reload right
GRANT RELOAD on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'xxxxxx'; 

# reload the rights
FLUSH PRIVILEGES;

# double check
select * from mysql.user;

2019アップデート

この回答は古くなっている可能性があります。以下の強く意見を述べるコメントをご覧ください。

の代わりに

GRANT ALL PRIVILEGES on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY PASSWORD('your password') WITH GRANT OPTION; FLUSH PRIVILEGES;

おもう

GRANT ALL PRIVILEGES on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'your password' WITH GRANT OPTION; FLUSH PRIVILEGES;

パスワードがハッシュされていないため...？

debian-sys-maintに必要な権限

その他の回答は、debian-sys-maintユーザーに必要な最小限の許可セットを除き、すべてに十分に対処しています。ここでの回答の多くは、その点で単純に間違っており、実際には危険です。以下を読んで理解することなく、debian-sys-maint特権（付与オプションを含む）を減らさないでください。

Debianメンテナは、ユーザーにすべての特権を気まぐれに与えたわけではありません。必要なもの、場所、理由は次のとおりです。これらの特権の一部は他の特権のスーパーセットですが、物事をカスタマイズしてそれらの要件を削除する場合に備えて、個別にリストします。

• シャットダウンとリロード、データベースをシャットダウンまたは実行するために、/ etc / init.d / mysqlによって十分な驚きが必要
• データベースの起動時に行われる健全性チェックに必要なmysql.userを選択し、rootユーザーが存在することを確認します。ファイル/usr/share/mysql/debian-start.inc.sh内の関数check_root_accountsの実際のコードを使用して、/ etc / mysql / debian-start（/etc/init.d/mysqlによって呼び出されます）による各スタートアップを完了します
• クラッシュしたテーブルのチェックに必要なinformation_schema.tablesのselect、グローバルselect。ファイル/usr/share/mysql/debian-start.inc.shの関数check_for_crashed_tables内の実際のコードを使用して、/ etc / mysql / debian-start（/etc/init.d/mysqlによって呼び出されます）による各スタートアップを完了します
• MySQLの新しいバージョンが更新またはDebianアップグレードによってインストールされた場合、またはその場合にテーブルをアップグレードするために必要なグローバルなすべての特権。ファイル/usr/share/mysql/debian-start.inc.sh内の関数upgrade_system_tables_if_necessary内の実際のコードを使用して、/ etc / mysql / debian-start（/etc/init.d/mysqlによって呼び出されます）による各起動を完了します-実際にMySQLバイナリmysql_upgradeを呼び出します-関数名（upgrade_system_tables_if_necessary）にだまされないでください。これは潜在的にすべてのテーブルに触れる可能性があります-以下を参照してください

もちろん、最後の1つは特権の主要な要件です。mysql_upgradeのマニュアルページには次のように記載されています。

mysql_upgradeは、MySQL Serverの現在のバージョンとの非互換性について、すべてのデータベースのすべてのテーブルを調べます。mysql_upgradeはシステムテーブルもアップグレードするため、追加された可能性のある新しい特権または機能を利用できます。

mysql_upgradeがテーブルに非互換性の可能性があることを検出した場合、テーブルチェックを実行し、問題が見つかった場合はテーブルの修復を試みます。

警告 debian-sys-maintが持つ特権を削減することに決めた場合は、MySQLに関係する将来のdebianセキュリティ更新やアップグレードを手動で処理する準備ができていることを確認してください。減らされたdebian-sys-maint特権でMySQLパッケージの更新を実行し、その結果mysql_upgradeが完了できない場合、データベースが未定義（読み取り破損）状態のままになることがあります。特権を減らすことは、更新が行われるまで明白な日常的な問題を持たない可能性があります。そのため、安全だと考える根拠として有害な影響を与えずに特権を既に減らしているという事実を無視しないでください。

これに関する補足事項として、debian固有のものを無効にする理由については、このmysqlperformanceblogの投稿をご覧ください。

MySQL 5.6+ を使用する場合、関連するパスワードを使用mysql_config_editorしてユーザーのエントリを作成するコマンドを使用することをお勧めし'debian-sys-maint'@'localhost'ます。つまり、パスワードをサーバーにプレーンテキストで保存する必要はありません。

mysql_config_editor set --login-path=debian-sys-maint --host=localhost --user=debian-sys-maint --password

これに続いて、/etc/mysql/debian.cnfユーザー名とパスワードの詳細がファイルに保存されないように、debian固有の設定ファイルを変更できます。

最後に、MySQLのlogrotateファイルを変更して~/.mylogin.cnf、debian固有のファイルではなく、ファイルに保存されているログイン詳細を置き換えて使用するようにします

/usr/bin/mysqladmin --defaults-file=/etc/mysql/debian.cnf

と

/usr/bin/mysqladmin --login-path=debian-sys-maint

お役に立てれば ：）

デイブ