Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SQL SECURITY特性の扱いと作ったパッチ

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for tom--bo tom--bo
August 27, 2024
94
1

SQL SECURITY特性の扱いと作ったパッチ

Avatar for tom--bo

tom--bo

August 27, 2024

More Decks by tom--bo

See All by tom--bo
DDLが取得するMDLの調査(私的)まとめ
Avatar for tom--bo tombo
3
150
安全なDDLの実行を目指して 〜(その1)取得するMDLの把握〜
Avatar for tom--bo tombo
0
170
MyRaft論文紹介
Avatar for tom--bo tombo
3
960
2PC between Binlog and InnoDB
Avatar for tom--bo tombo
1
350
WIP: 2PC between binlog and InnoDB
Avatar for tom--bo tombo
1
250
Dive into InnoDB from redo logs
Avatar for tom--bo tombo
3
1.8k
MySQLアンカンファレンス01_mysqlredo
Avatar for tom--bo tombo
1
1k
MySQLアンカンファレンス 開催概要
Avatar for tom--bo tombo
0
320

Featured

See All Featured
Money Talks: Using Revenue to Get Sh*t Done
Avatar for Nikki Halliwell nikkihalliwell
0
200
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.8k
It's Worth the Effort
Avatar for 3n 3n
188
29k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
61
9.8k
What Being in a Rock Band Can Teach Us About Real World SEO
Avatar for Ade Holder 427marketing
0
200
Visualization
Avatar for Eitan Lees eitanlees
150
17k
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
Avatar for Aleyda Solis aleyda
1
1.9k
WENDY [Excerpt]
Avatar for Tessa Abrams tessaabrams
9
37k
The AI Search Optimization Roadmap by Aleyda Solis
Avatar for Aleyda Solis aleyda
1
5.6k
Amusing Abliteration
Avatar for ianozsvald ianozsvald
1
150
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
1
1.2k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
55
8.1k

Transcript

  1. SQL SECURITY特性の扱い と 作ったパッチ MySQLアンカンファレンス 第6回 @tom__bo

  2. SQL SECURITY句とは • VIEW, STORED FUNCTION/PROCEDUREなどを作成するときに 設定できるセキュリティコンテキスト • ex) CREATE

    SQL SECURITY INVOKER VIEW V1 AS SELECT * FROM t1; • 設定できる値 • “DEFINER “ : オブジェクトの定義者のアカウント権限で実行 • “INVOKER “ : オブジェクトの呼び出し元のアカウント権限で実行 • デフォルトは”DEFINER”

  3. ありがちなオペレーションミス • ユーザu1でVIEW作成 • 管理者ユーザでu1の削除 (SUPER or SET_USER_ID権限を持つ)

  4. ありがちなオペレーションミス • VIEWを参照するとエラー • (補足: SET_USER_ID権限がないユーザからは消せない(8.0.22以降))

  5. 考えられる対策例 1. SET_USER_ID権限を適切に管理する • ユーザ削除にSUPER or SET_USER_ID権限をもつユーザを使わない 2. ユーザの削除前にDEFINERに指定されていないか確認 3.

    DEFINERを絶対削除しない固定ユーザにする 4. 常にSQL SECURITY INVOKER で定義する SQL SECURITYのデフォルトを INVOKERにする設定とか作れない? 見てみますー (変数追加と数行の追加でできた)

  6. 作ったパッチ • default_sql_security_invoker = ONにするとデフォルトでSQL SECURITY INVOKERでオブジェクトが作成される

  7. DEFAULTをINVOKERにするパッチ(プロトタイプ) • システム変数の定義(set sessionも可能な定義方法)

  8. DEFAULTをINVOKERにするパッチ(プロトタイプ) • 作成時の条件分岐追加

  9. 疑問と感想 • 運用上SQL SECURITY 特性をどう管理されてます? • 1変数を追加するほどのことではない? • ちゃんと権限管理してないのが悪い気が... •

    trigger, eventにはsql security特性がない DEFINER相当になるので、同じ方法は取れない
  10. None