mysql - superuser nie do =?iso-8859-2?Q?ko=F1ca?= super?
Jacek Osiecki - 12-01-2006 09:31
mysql - superuser nie do =?iso-8859-2?Q?ko=F1ca?= super?
Witam,
Mam taki problem: chcę dać użytkownikom możliwość robienia wszystkiego we
wszystkich bazach (łącznie z zakładaniem nowych baz) - a raczej _prawie_
wszystkiego. Mówiąc krótko, chcę stworzyć usera który nie będzie miał
dostępu (albo będzie miał dostęp read-only) do kilku baz, w tym "mysql"
i nie będzie miał możliwości tworzenia nowych użytkowników.
Stworzyłem więc odpowiedniego usera z odpowiednimi prawami, po czym do
tablicy "db" dałem ustawienia dla tego usera - zero uprawnień do bazy mysql.
Niestety - bez skutku. User nadal może wszystko...
Czy da się mysqla zmusić do tego by "deny" miało priorytet nad "allow"?
Pozdrawiam,
--
Jacek Osiecki joshua@ceti.pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004
Wojtek pBT (prac) - 15-01-2006 19:16
Jacek Osiecki napisał(a):
> Witam,
>
> Mam taki problem: chcę dać użytkownikom możliwość robienia wszystkiego we
> wszystkich bazach (łącznie z zakładaniem nowych baz) - a raczej _prawie_
> wszystkiego. Mówiąc krótko, chcę stworzyć usera który nie będzie miał
> dostępu (albo będzie miał dostęp read-only) do kilku baz, w tym "mysql"
> i nie będzie miał możliwości tworzenia nowych użytkowników.
>
> Stworzyłem więc odpowiedniego usera z odpowiednimi prawami, po czym do
> tablicy "db" dałem ustawienia dla tego usera - zero uprawnień do bazy mysql.
>
> Niestety - bez skutku. User nadal może wszystko...
>
> Czy da się mysqla zmusić do tego by "deny" miało priorytet nad "allow"?
>
> Pozdrawiam,
GRANT ALL ... [wsyztkie bazy]
REVOKE ALL [wybrane bazy]
powinno ruszyć
ps.:
REVOKE, czy REWOKE?
Jacek Osiecki - 15-01-2006 19:16
Dnia Thu, 12 Jan 2006 17:13:43 +0100, Wojtek pBT (prac) napisał(a):
> Jacek Osiecki napisał(a):
>> Mam taki problem: chcę dać użytkownikom możliwość robienia wszystkiego we
>> wszystkich bazach (łącznie z zakładaniem nowych baz) - a raczej _prawie_
>> wszystkiego. Mówiąc krótko, chcę stworzyć usera który nie będzie miał
>> dostępu (albo będzie miał dostęp read-only) do kilku baz, w tym "mysql"
>> i nie będzie miał możliwości tworzenia nowych użytkowników.
> GRANT ALL ... [wsyztkie bazy]
> REVOKE ALL [wybrane bazy]
>
> powinno ruszyć
> REVOKE, czy REWOKE?
Revoke.
Niestety, nie pomoże - to tylko "nakładka" tablice user,host,db...
Wygląda na to że twórcy mysql'a o czymś takim nie pomyśleli - a bardzo
szkoda... :(
Wnioskuję to z tego fragmentu manuala:
" The privileges for a column can be calculated as follows:
global privileges
OR (database privileges AND host privileges)
OR table privileges
OR column privileges
"
Szkoda, bo dorzucenie tablicy "denied" w której by się wpisywało wyjątki
byłoby bardzo fajną sprawą... :(
Pozdrawiam,
--
Jacek Osiecki joshua@ceti.pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004
zanotowane.pldoc.pisz.plpdf.pisz.pleffulla.pev.pl
|
Gdzie MySQL 4.1, a gdzie 5.0?
[MS SQL] "set names" (mySQL) w MS SQL
oracle -> oracle lub oracle -> mysql replikacja - programy
[mysql 4.0] SELECT t1.id, t1.foo FROM t1 oraz COUNT t2 w jednym zapytaniu.
[MySQL] Zwrot tego, co pasuje i nie pasuje :-/
[pgsql] Dostosowanie składni MySQL 5.0 -> PGSQL 8.1
[mysql] galeria zdjec - numerowanie zdjec
[MySQL] Zapytanie z pliku , wynik do pliku
[mysql] CONCAT agregujący, ale nie GROUP_CONCAT()
mysql data 0000-00-00 na koniec
zanotowane.pldoc.pisz.plpdf.pisz.plshanti.opx.pl
Cytat
Decede mihi sole - nie zasłaniaj mi słonca.
Gdy kogoś kochasz, jesteś jak stworzyciel świata - na cokolwiek spojrzysz, nabiera to kształtu, wypełnia się barwą, światłem. Powietrze przytula się do ciebie, choćby był mróz, a ty masz w sobie tyle radości, że musisz ją rozdawać wokoło, bo się w tobie nie mieści
Hoc fac - tak czyń.
A tergo - od tyłu; z tyłu.
I czarne włosy posiwieją. Safona |
|
