mysql备份只需select、lock tables、show view、trigger四类最小权限;创建backup_user并精确授权app_db.*,禁用root和all privileges,密码存配置文件且权限设为600。
只给备份所需的最小权限,别用 root
MySQL 备份(尤其是 mysqldump)不需要全库 DDL 或用户管理权限。用 root 做备份不仅违反最小权限原则,还放大了凭证泄露风险。实际只需 SELECT、LOCK TABLES(单库逻辑备份时)、SHOW VIEW(含视图的库)、TRIGGER(含触发器的表)这四类权限。
-
SELECT是必须的,否则mysqldump读不到数据 -
LOCK TABLES在非--single-transaction模式下用于保证一致性;若用 InnoDB 且加了该参数,可省略此权限 - 如果备份库中存在视图,必须加
SHOW VIEW,否则mysqldump报错Access denied; you need (at least one of) the SHOW VIEW privilege(s) - 同理,有触发器的表需
TRIGGER权限,否则 dump 出的 SQL 会缺失CREATE TRIGGER语句
创建专用备份用户的完整 SQL
执行以下语句创建用户并授予权限(以备份库 app_db 为例):
CREATE USER 'backup_user'@'localhost' IDENTIFIED BY 'strong_password_123'; GRANT SELECT, LOCK TABLES, SHOW VIEW, TRIGGER ON `app_db`.* TO 'backup_user'@'localhost'; FLUSH PRIVILEGES;
注意:`app_db`.* 中的反引号不能省——若库名含短横线(如 my-app),不加引号会导致语法错误;FLUSH PRIVILEGES 必须执行,否则权限不生效。
- 不要授予
ALL PRIVILEGES或RELOAD(影响FLUSH LOGS等敏感操作) - 主机限定为
'localhost',避免网络暴露;如需远程备份,改用内网 IP + 防火墙白名单,而非'%' - 密码必须强,且建议用 MySQL 8.0+ 的
caching_sha2_password插件(5.7 可用mysql_native_password兼容旧客户端)
验证权限是否足够:用备份命令实测
直接运行一次 mysqldump 并检查输出和退出码,比查 SHOW GRANTS 更可靠:
mysqldump -u backup_user -p app_db --single-transaction --routines --events > /tmp/app_db.dump
常见失败信号:
- 报错
Access denied for user 'backup_user'@'localhost' to database 'app_db'→ 用户没被授权该库 - 报错
Couldn't execute 'SHOW CREATE VIEW ...': Access denied→ 缺SHOW VIEW - 报错
Access denied; you need the PROCESS privilege→ 错误启用了--all-databases或未限定库名,导致尝试访问information_schema等系统库
成功后检查 dump 文件头是否有 CREATE DATABASE 和完整表结构,确认 --routines(存储过程)和 --events(事件)也正常导出。
备份脚本里别硬编码密码
在 shell 脚本或 cron 中直接写 -p'password' 会导致密码出现在进程列表(ps aux 可见)和 shell 历史中。正确做法是使用 MySQL 配置文件:
[client] user = backup_user password = strong_password_123
存为 /etc/mysql/backup.cnf,权限设为 600(仅 root 可读),然后调用:
mysqldump --defaults-extra-file=/etc/mysql/backup.cnf app_db > backup.sql
- 配置文件路径必须用绝对路径,相对路径在 cron 下会失效
- 文件权限漏设为
600是高频疏忽——MySQL 会拒绝读取权限过宽的配置文件,并报错File '/path/to.cnf' not found or not readable - 不要用
~/.my.cnf,因为 cron 默认没有 HOME 环境变量,路径解析会失败
权限配置容易一劳永逸地忽略后续变更——比如新增视图或触发器后忘了补权限,备份就静默丢失关键对象。每次结构变更后,都该重跑一次验证命令。
