Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SQL SECURITY特性の扱いと作ったパッチ

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for tom--bo tom--bo
August 27, 2024
100
1

SQL SECURITY特性の扱いと作ったパッチ

Avatar for tom--bo

tom--bo

August 27, 2024

More Decks by tom--bo

See All by tom--bo
DDLが取得するMDLの調査(私的)まとめ
Avatar for tom--bo tombo
3
170
安全なDDLの実行を目指して 〜(その1)取得するMDLの把握〜
Avatar for tom--bo tombo
0
180
MyRaft論文紹介
Avatar for tom--bo tombo
3
990
2PC between Binlog and InnoDB
Avatar for tom--bo tombo
1
360
WIP: 2PC between binlog and InnoDB
Avatar for tom--bo tombo
1
270
Dive into InnoDB from redo logs
Avatar for tom--bo tombo
3
1.9k
MySQLアンカンファレンス01_mysqlredo
Avatar for tom--bo tombo
1
1.1k
MySQLアンカンファレンス 開催概要
Avatar for tom--bo tombo
0
330

Featured

See All Featured
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
360
30k
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
Side Projects
Avatar for Sacha Greif sachag
455
43k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
How to make the Groovebox
Avatar for あそなす asonas
2
2.2k
Music & Morning Musume
Avatar for Bryan Veloso bryan
47
7.2k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
360
The Illustrated Guide to Node.js - THAT Conference 2024
Avatar for David Neal reverentgeek
1
390
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
31
10k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
666
130k
HDC tutorial
Avatar for Michiel Stock michielstock
2
710

Transcript

  1. SQL SECURITY特性の扱い と 作ったパッチ MySQLアンカンファレンス 第6回 @tom__bo

  2. SQL SECURITY句とは • VIEW, STORED FUNCTION/PROCEDUREなどを作成するときに 設定できるセキュリティコンテキスト • ex) CREATE

    SQL SECURITY INVOKER VIEW V1 AS SELECT * FROM t1; • 設定できる値 • “DEFINER “ : オブジェクトの定義者のアカウント権限で実行 • “INVOKER “ : オブジェクトの呼び出し元のアカウント権限で実行 • デフォルトは”DEFINER”

  3. ありがちなオペレーションミス • ユーザu1でVIEW作成 • 管理者ユーザでu1の削除 (SUPER or SET_USER_ID権限を持つ)

  4. ありがちなオペレーションミス • VIEWを参照するとエラー • (補足: SET_USER_ID権限がないユーザからは消せない(8.0.22以降))

  5. 考えられる対策例 1. SET_USER_ID権限を適切に管理する • ユーザ削除にSUPER or SET_USER_ID権限をもつユーザを使わない 2. ユーザの削除前にDEFINERに指定されていないか確認 3.

    DEFINERを絶対削除しない固定ユーザにする 4. 常にSQL SECURITY INVOKER で定義する SQL SECURITYのデフォルトを INVOKERにする設定とか作れない? 見てみますー (変数追加と数行の追加でできた)

  6. 作ったパッチ • default_sql_security_invoker = ONにするとデフォルトでSQL SECURITY INVOKERでオブジェクトが作成される

  7. DEFAULTをINVOKERにするパッチ(プロトタイプ) • システム変数の定義(set sessionも可能な定義方法)

  8. DEFAULTをINVOKERにするパッチ(プロトタイプ) • 作成時の条件分岐追加

  9. 疑問と感想 • 運用上SQL SECURITY 特性をどう管理されてます? • 1変数を追加するほどのことではない? • ちゃんと権限管理してないのが悪い気が... •

    trigger, eventにはsql security特性がない DEFINER相当になるので、同じ方法は取れない
  10. None