私が作業している環境では、開発者はUnixアカウントのユーザー名のみを使用してアプリケーションのMySQLデータベースに接続する必要があります。これを裏付ける原動力は、MySQLの一般ログを介してクエリを実行したユーザーにクエリの実行を追跡することです。これまで、理想的な解決策は見つかりませんでした。不完全な解決策もありますが、より良いアイデアを得ることを願っています。
開発者はアプリケーションが使用する資格情報にアクセスできます(ホストシステムにログインしてアクセスできます)。資格情報をアプリケーションで使用できるようにしながら、資格情報へのアクセスを制限するソリューションを開発しています。しかし、まだMySQLログがクエリを実行している実際のユーザーを反映していることを確認したいと思います。
mysql -u <user><user>強制的にログインする必要があるUnixユーザー名を制限する方法を知っている人はいますか?データベースはAWS RDSでホストされているため、これに対する制御はありませんが、mysql接続システムのバイナリに対する完全な制御はあります。
より多くの情報を追加したいのですが、何が関係しているのかわかりません。質問をしたら、私は自分で更新します。
-uスイッチを制限し、実際のバイナリを呼び出すロジックを追加するためにバイナリをラップするなどの操作を実行する方法はありますかmysql?
ベストアンサー1
MySQL Enterprise EditionはPAM(プラグイン認証モジュール)をサポートしています。
この記事では、次の設定方法について説明します。https://dev.mysql.com/doc/refman/5.5/en/pam-pluggable-authentication.html
欠点はあなたです
- MySQL Business Editionが必要です。
- MySQL サーバーの構成ファイルへのアクセスが必要です。
これがなければ、MySQLの独自のユーザー管理で信頼できるUnixユーザーを複製するスクリプトを作成する以外にできることはあまりありません。ただし、パスワードを同期することはできません。