[sisyphus] MySQL и logrotate

[sisyphus] MySQL и logrotate

[Nicholas Tretyachenko]

Добрый день.
В файле /etc/logrotate.d/mysql
написано, что если root в mysql имеет пароль, то нужно прописать его
в файле /root/.my.cnf
Прописываю. Эффекта не возымело.
Похоже, файл .my.cnf ищется не в каталоге root при выполнении
logrotate, а в корневом каталоге. Так это или нет ?
Если так, то, может, есть смысл поправить примечание в файле
/etc/logrotate.d/mysql или поправить все-таки скрипты, чтобы они
искали файл там где нужно. В коренб что-то не очень хочется его
класть.

Спасибо за внимание.
  

-- 
Best regards,
 Nicholas                          mailto:tkola@amfitel.ru

Re: [sisyphus] MySQL и logrotate

[Egorov Alexey]

Nicholas Tretyachenko пишет:

>Добрый день.
>В файле /etc/logrotate.d/mysql
>написано, что если root в mysql имеет пароль, то нужно прописать его
>в файле /root/.my.cnf
>Прописываю. Эффекта не возымело.
>Похоже, файл .my.cnf ищется не в каталоге root при выполнении
>logrotate, а в корневом каталоге. Так это или нет ?
>Если так, то, может, есть смысл поправить примечание в файле
>/etc/logrotate.d/mysql или поправить все-таки скрипты, чтобы они
>искали файл там где нужно. В коренб что-то не очень хочется его
>класть.
>  
>
http://www.atmsk.ru/viewtopic.php?t=133

[sisyphus] Re[2]: [sisyphus] MySQL и logrotate

[Nicholas Tretyachenko]

Hello Alexey,

Tuesday, February 18, 2003, 11:09:13 AM, you wrote:

>>
>>
EA> http://www.atmsk.ru/viewtopic.php?t=133

Большое спасибо за информацию.
Тем не менее, было бы неплохо разработчикам привести документацию в соответсвие с
реальным состоянием дел, или наоборот, состояние дел привести в
соответствие с документацией.



-- 
Best regards,
 Nicholas                            mailto:tkola@amfitel.ru

Re: [sisyphus] MySQL и logrotate

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1234 bytes --]

On Tue, Feb 18, 2003 at 11:09:13AM +0300, Egorov Alexey wrote:
> >В файле /etc/logrotate.d/mysql
> >написано, что если root в mysql имеет пароль, то нужно прописать его
> >в файле /root/.my.cnf
> >Прописываю. Эффекта не возымело.
> >Похоже, файл .my.cnf ищется не в каталоге root при выполнении
> >logrotate, а в корневом каталоге. Так это или нет ?
> >Если так, то, может, есть смысл поправить примечание в файле
> >/etc/logrotate.d/mysql или поправить все-таки скрипты, чтобы они
> >искали файл там где нужно. В коренб что-то не очень хочется его
> >класть.
> > 
> http://www.atmsk.ru/viewtopic.php?t=133

$ mysqladmin --help
[...]
Default options are read from the following files in the given order:
/etc/my.cnf /var/lib/mysql/my.cnf ~/.my.cnf 
The following groups are read: mysqladmin client
The following options may be given as the first argument:
--print-defaults        Print the program argument list and exit
--no-defaults           Don't read default options from any options file
--defaults-file=#       Only read default options from the given file #
--defaults-extra-file=# Read this file after the global files are read

В /etc/logrotate.d/mysql опечатка, и "/root/.my.cnf" следует
читать как "/etc/my.cnf".


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Re[2]: [sisyphus] MySQL и logrotate

[Герасимов Дмитрий]

Nicholas Tretyachenko пишет:

>Hello Alexey,
>
>Tuesday, February 18, 2003, 11:09:13 AM, you wrote:
>
>  
>
>>>      
>>>
>EA> http://www.atmsk.ru/viewtopic.php?t=133
>
>Большое спасибо за информацию.
>Тем не менее, было бы неплохо разработчикам привести документацию в соответсвие с
>реальным состоянием дел, или наоборот, состояние дел привести в
>соответствие с документацией.
>
>
>
>  
>
в документации по MySQL все это описано. читайте man-ы , они рулез.

[sisyphus] Re[2]: [sisyphus] Re[2]: [sisyphus] MySQL и logrotate

[Nicholas Tretyachenko]

Hello Дмитрий,

Tuesday, February 18, 2003, 11:48:41 AM, you wrote:

ГД> Nicholas Tretyachenko пишет:
>>
ГД> в документации по MySQL все это описано. читайте man-ы , они рулез.
Я в курсе, что в манах все это есть, но мне нужно было всего лишь
настроить правильно logrotate. Примечание в файле для logrotate
сбивает с толку, вот о чем я пытаюсь сказать.

-- 
Best regards,
 Nicholas                            mailto:tkola@amfitel.ru

[sisyphus] Re[2]: [sisyphus] MySQL и logrotate

[Nicholas Tretyachenko]

Hello Dmitry,

Tuesday, February 18, 2003, 11:48:21 AM, you wrote:

DVL> $ mysqladmin --help
DVL> [...]
DVL> Default options are read from the following files in the given order:
DVL> /etc/my.cnf /var/lib/mysql/my.cnf ~/.my.cnf 
DVL> В /etc/logrotate.d/mysql опечатка, и "/root/.my.cnf" следует
DVL> читать как "/etc/my.cnf".

Возможно и опечатка, хотя мне кажется, что нет.
/root/.my.cnf - это указанный в процитированной Вами документации ~/.my.cnf
Скорее всего, дело в том, что logrotate не устанавливает значение переменной
$HOME и ~/.my.cnf развертывается в /.my.cnf


-- 
Best regards,
 Nicholas                            mailto:tkola@amfitel.ru

Re: [sisyphus] MySQL и logrotate

[Yura Kalinichenko]

В Вт, 18 Фев 2003, Dmitry V. Levin написал(а):

DVL> В /etc/logrotate.d/mysql опечатка, и "/root/.my.cnf" следует
DVL> читать как "/etc/my.cnf".

Не следует. /etc/my.cnf - не место для хранения пароля root.
Правильное место - действительно /root/.my.cnf.
Но поскольку инит-скрипт запускается с обнуленным $HOME -
надо либо поправить этот скрипт, дописав в нем export HOME=/root,
либо сделать ln -s /root/.my.cnf /.my.cnf ; chmod 0600 /root/.my.cnf

-- 
Yura Kalinichenko

Re: [sisyphus] MySQL и logrotate

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 618 bytes --]

On Tue, Feb 18, 2003 at 11:18:25AM +0200, Yura Kalinichenko wrote:
> DVL> В /etc/logrotate.d/mysql опечатка, и "/root/.my.cnf" следует
> DVL> читать как "/etc/my.cnf".
> 
> Не следует. /etc/my.cnf - не место для хранения пароля root.

Почему?
Этот файл поставляется с правами 600.

> Правильное место - действительно /root/.my.cnf.
> Но поскольку инит-скрипт запускается с обнуленным $HOME -

Какой ещё "инит-скрипт"?

> надо либо поправить этот скрипт, дописав в нем export HOME=/root,
> либо сделать ln -s /root/.my.cnf /.my.cnf ; chmod 0600 /root/.my.cnf

Этого ещё не хватало. Не надо в / ничего плодить.


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] MySQL и logrotate

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 663 bytes --]

On Tue, Feb 18, 2003 at 12:14:57PM +0300, Nicholas Tretyachenko wrote:
> DVL> $ mysqladmin --help
> DVL> [...]
> DVL> Default options are read from the following files in the given order:
> DVL> /etc/my.cnf /var/lib/mysql/my.cnf ~/.my.cnf 
> DVL> В /etc/logrotate.d/mysql опечатка, и "/root/.my.cnf" следует
> DVL> читать как "/etc/my.cnf".
> 
> Возможно и опечатка, хотя мне кажется, что нет.
> /root/.my.cnf - это указанный в процитированной Вами документации ~/.my.cnf
> Скорее всего, дело в том, что logrotate не устанавливает значение переменной
> $HOME и ~/.my.cnf развертывается в /.my.cnf

А разве logrotate должен устанавливать переменную HOME?


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] MySQL и logrotate

[Yura Kalinichenko]

В Вт, 18 Фев 2003, Dmitry V. Levin написал(а):

DVL> On Tue, Feb 18, 2003 at 11:18:25AM +0200, Yura Kalinichenko wrote:
DVL> > DVL> В /etc/logrotate.d/mysql опечатка, и "/root/.my.cnf" следует
DVL> > DVL> читать как "/etc/my.cnf".
DVL> >
DVL> > Не следует. /etc/my.cnf - не место для хранения пароля root.
DVL>
DVL> Почему?
DVL> Этот файл поставляется с правами 600.
Что не есть правильно. Идеологически это должен быть _общий_
конфигурационный файл, и кроме секции [mysqld] там имеют право быть и
другие, например [client]. Что, прикажете всех клиентов суидными делать,
чтобы они могли конфигурацию прочитать ?
А персональные конфигурации принято дома держать.

DVL>
DVL> > Правильное место - действительно /root/.my.cnf.
DVL> > Но поскольку инит-скрипт запускается с обнуленным $HOME -
DVL>
DVL> Какой ещё "инит-скрипт"?
Тот, из которого запускается logrotate. Например,
/etc/cron.daily/logrotate.

DVL>
DVL> > надо либо поправить этот скрипт, дописав в нем export HOME=/root,
DVL> > либо сделать ln -s /root/.my.cnf /.my.cnf ; chmod 0600
DVL> /root/.my.cnf
DVL>
DVL> Этого ещё не хватало. Не надо в / ничего плодить.
Ну если майнтейнер пакета не доработал - каждый имеет право решать
проблему как ему удобнее. Во всяком случае ничего криминального в этом не
вижу.

-- 
Yura Kalinichenko

[sisyphus] Re: MySQL и logrotate

[Artem K. Jouravsky]

[-- Attachment #1: Type: text/plain, Size: 704 bytes --]

On Tue, Feb 18, 2003 at 01:07:16PM +0300, Dmitry V. Levin wrote:
> On Tue, Feb 18, 2003 at 11:18:25AM +0200, Yura Kalinichenko wrote:
> > DVL> В /etc/logrotate.d/mysql опечатка, и "/root/.my.cnf" следует
> > DVL> читать как "/etc/my.cnf".
> > 
> > Не следует. /etc/my.cnf - не место для хранения пароля root.
> 
> Почему?
> Этот файл поставляется с правами 600.
Иногда удобно сделать этот файл доступным для чтения.
Почему не сделать по умолчанию --defaults-extra-file=/root/.my.cnf в
/etc/logrotate.d/mysql?


-- 
Best wishes,                 | ICQ 103399444
	Artem K. Jouravsky,  | JID ujo@jabber.ru
iFirst Ltd, System Administrator.
-----------------------
In Oz, never say "krizzle kroo" to a Woozy.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] MySQL и logrotate

[Albert R. Valiev]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

В сообщении от 18 Февраль 2003 14:42 Yura Kalinichenko написал:
> В Вт, 18 Фев 2003, Dmitry V. Levin написал(а):
>
> DVL> On Tue, Feb 18, 2003 at 11:18:25AM +0200, Yura
> Kalinichenko wrote: DVL> > DVL> В /etc/logrotate.d/mysql
> опечатка, и "/root/.my.cnf" следует DVL> > DVL> читать как
> "/etc/my.cnf".
> DVL> >
> DVL> > Не следует. /etc/my.cnf - не место для хранения пароля
> root. DVL>
> DVL> Почему?
> DVL> Этот файл поставляется с правами 600.
> Что не есть правильно.
Это есть правильно. 

> Идеологически это должен быть _общий_  конфигурационный файл
>, и кроме секции [mysqld] там имеют право быть и другие                  
> например [client]. Что, прикажете всех клиентов
> суидными делать, чтобы они могли конфигурацию прочитать ?

А клиентам хватит ~/.my.cnf 






> А персональные конфигурации принято дома держать.

- -- 

With Best Regards, Albert R. Valiev
- ------------------------------------
ALT Linux Team [www.altlinux.ru]
KDE Development Team [www.kde.org]
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)

iD8DBQE+UiRB7d6wAH+0KuARAiWMAJ94sO3LYRm4veekhLt5rN3PTRSbXACfdu8s
d4yToEJKyvyTskzQxswDT5Y=
=Apde
-----END PGP SIGNATURE-----

Re: [sisyphus] MySQL и logrotate

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1453 bytes --]

On Tue, Feb 18, 2003 at 01:42:38PM +0200, Yura Kalinichenko wrote:
> DVL> > DVL> В /etc/logrotate.d/mysql опечатка, и "/root/.my.cnf" следует
> DVL> > DVL> читать как "/etc/my.cnf".
> DVL> >
> DVL> > Не следует. /etc/my.cnf - не место для хранения пароля root.
> DVL>
> DVL> Почему?
> DVL> Этот файл поставляется с правами 600.
> Что не есть правильно. Идеологически это должен быть _общий_
> конфигурационный файл, и кроме секции [mysqld] там имеют право быть и

От него было бы мало пользы в таком случае, ибо серверную конфигурацию
пришлось бы хранить в другом месте...

> А персональные конфигурации принято дома держать.

Никто с этим не спорит.
Но конфигурация для mysqladmin, запускаемого из logrotate, не является
персональной.

> DVL> > Правильное место - действительно /root/.my.cnf.
> DVL> > Но поскольку инит-скрипт запускается с обнуленным $HOME -
> DVL>
> DVL> Какой ещё "инит-скрипт"?
> Тот, из которого запускается logrotate. Например,
> /etc/cron.daily/logrotate.

Это cron-скрипт, его запускает crond(8).

> DVL> > надо либо поправить этот скрипт, дописав в нем export HOME=/root,
> DVL> > либо сделать ln -s /root/.my.cnf /.my.cnf ; chmod 0600
> DVL> /root/.my.cnf
> DVL>
> DVL> Этого ещё не хватало. Не надо в / ничего плодить.
> Ну если мантейнер пакета не доработал - каждый имеет право решать
> проблему как ему удобнее. Во всяком случае ничего криминального в этом не
> вижу.

Не надо советовать создавать в / что-либо.


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] MySQL и logrotate

[Yura Kalinichenko]

В Вт, 18 Фев 2003, Dmitry V. Levin написал(а):

DVL> On Tue, Feb 18, 2003 at 01:42:38PM +0200, Yura Kalinichenko wrote:
DVL> > DVL> > DVL> В /etc/logrotate.d/mysql опечатка, и "/root/.my.cnf"
DVL> следует
DVL> > DVL> > DVL> читать как "/etc/my.cnf".
DVL> > DVL> >
DVL> > DVL> > Не следует. /etc/my.cnf - не место для хранения пароля
DVL> root.
DVL> > DVL>
DVL> > DVL> Почему?
DVL> > DVL> Этот файл поставляется с правами 600.
DVL> > Что не есть правильно. Идеологически это должен быть _общий_
DVL> > конфигурационный файл, и кроме секции [mysqld] там имеют право
DVL> быть и
DVL>
DVL> От него было бы мало пользы в таком случае, ибо серверную
DVL> конфигурацию
DVL> пришлось бы хранить в другом месте...

Зачем ? Какие-такие там секреты, что он не может быть доступен никому
кроме рута (если, конечно, туда пароли не засовывать) ?
А посмотрите, например, /usr/share/doc/MySQL-3.23.49/my*.cnf
(напомню, это cnf-файлы, рекомендуемые разработчиками MySQL):

# You can copy this file to
# /etc/my.cnf to set global options,
# mysql-data-dir/my.cnf to set server-specific options (in this
# installation this directory is /var/lib/mysql) or
# ~/.my.cnf to set user-specific options.

Смысл слова global объяснять надеюсь не надо ?
А вот в /var/lib/mysql/my.cnf пароль root положить пожалуй можно,
и это наверное будет предпочтительным.

DVL> > DVL> Какой ещё "инит-скрипт"?
DVL> > Тот, из которого запускается logrotate. Например,
DVL> > /etc/cron.daily/logrotate.
DVL>
DVL> Это cron-скрипт, его запускает crond(8).
Ну давайте не будем вдаваться в тонкости терминологии...

-- 
Yura Kalinichenko

Re: [sisyphus] MySQL и logrotate

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 985 bytes --]

On Tue, Feb 18, 2003 at 05:02:33PM +0200, Yura Kalinichenko wrote:
> DVL> От него было бы мало пользы в таком случае, ибо серверную
> DVL> конфигурацию
> DVL> пришлось бы хранить в другом месте...
> 
> Зачем ? Какие-такие там секреты, что он не может быть доступен никому
> кроме рута (если, конечно, туда пароли не засовывать) ?
> А посмотрите, например, /usr/share/doc/MySQL-3.23.49/my*.cnf
> (напомню, это cnf-файлы, рекомендуемые разработчиками MySQL):

Так они и клиентский пароль там предлагают хранить. :)

> А вот в /var/lib/mysql/my.cnf пароль root положить пожалуй можно,
> и это наверное будет предпочтительным.

Пожалуй, согласен.

> DVL> > DVL> Какой ещё "инит-скрипт"?
> DVL> > Тот, из которого запускается logrotate. Например,
> DVL> > /etc/cron.daily/logrotate.
> DVL>
> DVL> Это cron-скрипт, его запускает crond(8).
> Ну давайте не будем вдаваться в тонкости терминологии...

Это важно в случае, если мы все-таки хотим понять, кто и как
инициализирует $HOME.


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] MySQL и logrotate

[Yura Kalinichenko]

В Вт, 18 Фев 2003, Dmitry V. Levin написал(а):

DVL> On Tue, Feb 18, 2003 at 05:02:33PM +0200, Yura Kalinichenko wrote:
DVL> > DVL> От него было бы мало пользы в таком случае, ибо серверную
DVL> > DVL> конфигурацию
DVL> > DVL> пришлось бы хранить в другом месте...
DVL> >
DVL> > Зачем ? Какие-такие там секреты, что он не может быть доступен
DVL> никому
DVL> > кроме рута (если, конечно, туда пароли не засовывать) ?
DVL> > А посмотрите, например, /usr/share/doc/MySQL-3.23.49/my*.cnf
DVL> > (напомню, это cnf-файлы, рекомендуемые разработчиками MySQL):
DVL>
DVL> Так они и клиентский пароль там предлагают хранить. :)
DVL>
Не надо передергивать. Во-первых нет там такого слова - закомментарено и
показано как пример. Во-вторых если база предназначена для общего
_чтения_ - почему не записать там пароль пользователя по умолчанию типа
guest, дав ему права ro ? Это ж не root, которому на все права чихать.

-- 
Yura Kalinichenko

[sisyphus] Re[2]: [sisyphus] MySQL и logrotate

[Nicholas Tretyachenko]

Здравствуйте, Dmitry.

Вы писали 18 февраля 2003 г., 13:08:27:

>> DVL> /etc/my.cnf /var/lib/mysql/my.cnf ~/.my.cnf
>> DVL> В /etc/logrotate.d/mysql опечатка, и "/root/.my.cnf" следует
>> DVL> читать как "/etc/my.cnf".
>> 
>> Возможно и опечатка, хотя мне кажется, что нет.
>> /root/.my.cnf - это указанный в процитированной Вами документации ~/.my.cnf
>> Скорее всего, дело в том, что logrotate не устанавливает значение переменной
>> $HOME и ~/.my.cnf развертывается в /.my.cnf

DVL> А разве logrotate должен устанавливать переменную HOME?

Если в нем не написано ее устанавливать, значит не должен. Нужно ли ,
чтобы он ее устанавливал ? - я не знаю.
А если вернуться к существу вопроса, то сделайте, пожалуйста, необходимые
правки - либо в примечаниях либо в скриптах, чтобы новые поколения не
наступали на грабли.

-- 
С уважением,
 Nicholas                          mailto:tkola@amfitel.ru

[sisyphus] Re: MySQL и logrotate

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 1560 bytes --]

On Tue, Feb 18, 2003 at 02:44:42PM +0300, Artem K. Jouravsky wrote:
> On Tue, Feb 18, 2003 at 01:07:16PM +0300, Dmitry V. Levin wrote:
> > On Tue, Feb 18, 2003 at 11:18:25AM +0200, Yura Kalinichenko wrote:
> > > DVL> В /etc/logrotate.d/mysql опечатка, и "/root/.my.cnf" следует
> > > DVL> читать как "/etc/my.cnf".

Плохо, уже наступил...

> > > Не следует. /etc/my.cnf - не место для хранения пароля root.

Да.

> > Почему?  Этот файл поставляется с правами 600.

"Эти двери установлены не для прохода в них; в случае
необходимости примените автоген".

Он даже на control не заслуживает, там просто _по_определению_ не
должно быть чего-либо чувствительного.

> Иногда удобно сделать этот файл доступным для чтения.

Мало того, если есть возможность выноса чувствительной информации
в менее заметное и общеупотребительное клиентским кодом -- это
ровно так и должно быть.

---

Дима, я позволю себе напомнить экспертам тривиальное правило
безопасности -- перезакрутка гаек бывает опасней недозакрутки.

Тж. см. "симптом ретивого админа" -- сперва вводится строжайшая
политика безопасности и ежовые рукавицы, потом в результате
несовместимости сетапа с жизнью наступает полный бардак и
фриволие.  Что куда хуже, чем если бы сразу был применен
_взвешенный_ подход, а не максимализм.

Если такие вещи приходится править ломом -- летят уже не щепки, а
все подряд, и никакие утонченности и продуманности просто не
выживают.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 187 bytes --]