|
MySQL.RU - Webboard
 Вернуться
 MySQL. Быстродействие VS Привелегии (explorer) 07/12/2004 - 00:24:37
 Re: MySQL. Быстродействие VS Привелегии (Dinky) 07/12/2004 - 01:21:56
Re: MySQL. Быстродействие VS Привелегии (Marat_L) 07/12/2004 - 09:42:57
Re: MySQL. Быстродействие VS Привелегии (explorer) 07/12/2004 - 14:38:44
Re: MySQL. Быстродействие VS Привелегии (Валентин) 07/12/2004 - 17:17:22
Re: MySQL. Быстродействие VS Привелегии (Dinky) 08/12/2004 - 02:15:36
Re: MySQL. Быстродействие VS Привелегии (explorer) 09/12/2004 - 15:44:31
Re: в таком разе - RTFM (Dinky) 09/12/2004 - 18:55:45
Re: в таком разе - RTFM (Dinky) 09/12/2004 - 18:58:31
Re: MySQL. Быстродействие VS Привелегии (explorer) 12/12/2004 - 16:31:09
Re: MySQL. Быстродействие VS Привелегии (Dinky) 13/12/2004 - 19:10:15
Re: MySQL. Быстродействие VS Привелегии (explorer) 14/12/2004 - 10:53:19
Re: MySQL. Быстродействие VS Привелегии (Dinky) 14/12/2004 - 22:16:41
Re: MySQL. Быстродействие VS Привелегии (explorer) 15/12/2004 - 13:38:31
Re: MySQL. Быстродействие VS Привелегии (Dinky) 15/12/2004 - 19:16:00
> Original message text:
> From: explorer - 07/12/2004 - 00:24:37
> Subject:MySQL. Быстродействие VS Привелегии
> -----------------
> Прочитал вот здесь:
> http://mysqlserver.narod.ru/rights.html
> "Наличие хотя бы одной записи в таблице tables_priv или columns_priv приведет к тому, что все входящие запросы будут проверяться на соответствие выполняемым операциям. Поскольку количество проверок на соответствие разрешенным привилегиям возрастет в несколько раз, перед применением таких ограничений следует протестировать производительность сервера баз данных с типовой нагрузкой"
>
> Т.е. получается, что если я начинаю управлять привилегиями чуть ниже чем на уровне базы данных вцелом - это начинает существенно "тормозить" систему, т.к. каждый SQL-запрос проходит "проверку"...
>
> Ситуация:
> У меня есть привелегерованный пользователь который select-ит, update-ит, insert-ит и пр. отдельную базу данных постоянно. Для него заданы все привелегии в таблице mysql.db. (Т.е. ему всё разрешено на уровне DB).
> Я хочу создать юзера mysql для того, чтобы внешние пользователи могли просматривать определённые столбцы определённых таблиц в той же БД (через php-скрипты). Эти обращения, в отличие от первых, будут редкими и совсем не "ресурсоёмкими".
>
> Вопрос:
> Если я добавлю в таблицы tables_priv и columns_priv привилегии для моего php-юзера, внесёт ли это дополнительные проверки при запросах основного юзера (у которого полный доступ ко всей БД в таблице mysql.db) и тем самым затормозит ли работу сервера?
>
>
From: explorer - 09/12/2004 - 15:44:31
Subject:MySQL. Быстродействие VS Привелегии
-----------------
Dinky писал:
"не вижу смысла в "огороде" - если кто-то что-то "взломает" и получит доступ к файловой системе, то утянет базу без проблем :-P
а на счет проверки привилегий, не думаю, что это станет проблемой до ОЧЕНЬ большой загрузки сервера, впрочем и тогда - другие проблемы будут важнее :))"
Dinky, я же не спрашивал, станет это проблемой или не станет, и не описывал, большая у меня загрузка сервера или маленькая. Я задал совершенно конкретный вопрос, упрощу его ещё более: "Будет ли для пользователя, для которого и так есть все привелегии в таблице mysql.bd, проверяться каждый его запрос по таблицам tables_priv и columns.priv?" Логика подсказывает, что делать этого не надо. А надо делать только для того юзера системы mysql, у которого недостаточно соответствующих прав в таблицах mysql.user и mysql.db.
Жду на него совершенно конкретного ответа: "Да, будет проверяться каждый его запрос, по тому-то по тому-то" или "Нет, не будет ....., будут проверяться только запросы пользователя, у кого не достаточно привилегий в таблицах mysql.user и mysql.db".
Ответы в стиле "нечего огород городить" я не жду. О том, стоит ли его "городить" я сделаю вывод сам, если мне кто-нибудь знающий поможет и ответит таки на _поставленый_ вопрос.
По поводу "если кто-то что-то "взломает" и получит доступ к файловой системе, то утянет базу без проблем".
Я специально оговорился, что апач запущен под chroot-ом. Взломав его вот так вот сходу доступ к каталогу mysql ничерта не получишь, если не найдёшь ещё уязвимостей и не проведёшь локальную атаку. Читаем man chroot и т.п.
Валентин писал:
"Привилегии проверяются на препарировании запроса и проверятся будут - это правильно.
Чем выше уровень привилегий, тем меньшее время на это требуется, тем более что mysql очень хорошо может кешировать таблицы.
В общем получается, что если всего пользователей не много, то потеря времени на извлечение привилегии для любого уровня доступа будет занимать мало времени, что для root, что для другого пользователя.
А если будет доступ к php-скрипту с паролем root, то зачем тогда городить огород?
Если к ограниченному пользователю, то тогда есть смысл, но нужно при расширении структуры внимательно следить за безопасностью пользователя, чтобы он мог нормально работать.
Хороший тон - не давать пользователю полного доступа ко всему и доступа с грантами."
Валентин, если Вас не затруднит, можно более чётко. Я прекрасно понимаю, что если "строчек" в tables_priv и columns_priv не много, то производительность "сильно" не снизится (хотя, это понятие относительное).
А нельзя ли конкретно:
Вот у меня есть пользователь root со всеми полномочиями на select-ы, update-ы и т.п. уже в mysql.user
Будет ли каждый его запрос проходить дополнительную проверку? Или нет, будут проверяться запросы только тех пользователей, у которых 'N', 'N', 'N'-ы в user и db?
[Это сообщение - спам!]
Последние сообщения из форума
Уважаемые посетители форума MySQL.RU!
Убедительная просьба, прежде чем задавать свой вопрос в этом форуме, обратите внимание на разделы:
- ответы на наиболее часто задаваемые вопросы - FAQ
- раздел документация
- раздел поиск по сообщениям форума и документации
Также, старайтесь наиболее подробно указывать свою ситуацию (версию операционной системы, версию MySQL,
версию программного обеспечения, по которому возникает вопрос, текст возникающих ошибок, и др.)
Помните, чем конкретнее Вы опишете ситуацию, тем больше шансов получить реальную помощь.
19061
|
|
