-- 1. 查看所有用戶列表（確認備份賬號存在，無多余賬號）
SELECT user, host FROM mysql.user;

-- 2. 查看指定備份賬號的全局權限（關鍵！排查是否有多余權限）
-- 示例：查詢 backup_user@localhost 的全局權限
SHOW GRANTS FOR 'backup_user'@'localhost';

-- 3. 查看賬號的庫/表級權限（避免授予庫級 ALL PRIVILEGES）
SELECT * FROM mysql.tables_priv WHERE user = 'backup_user';
SELECT * FROM mysql.db WHERE user = 'backup_user';

GRANT SELECT, LOCK TABLES, REPLICATION CLIENT ON *.* TO `backup_user`@`localhost`;

GRANT ALL PRIVILEGES ON *.* TO `backup_user`@`localhost`; -- 權限過大
GRANT SELECT, UPDATE, LOCK TABLES ON *.* TO `backup_user`@`localhost`; -- 包含 UPDATE 無關權限

GRANT SELECT, LOCK TABLES ON test.* TO `backup_user`@`localhost`;

GRANT SELECT ON *.* TO `backup_user`@`%`; -- 允許任意 IP 訪問，泄露風險極高

-- MySQL 8.0 可查看密碼策略，確認賬號密碼符合要求
SHOW VARIABLES LIKE 'validate_password%';

# 1. 檢查 datadir 權限（僅 mysql 用戶可讀/寫，其他用戶無權限）
ls -ld /var/lib/mysql
# 正確權限：drwxr-x---  mysql mysql（750），禁止 777/755（其他用戶可讀?。?

# 2. 檢查備份目錄權限（僅 mysql 用戶可寫，其他用戶無訪問權限）
ls -ld /backup/mysql
# 正確權限：drwx------  mysql mysql（700），禁止開放給 root 外的其他用戶

-- 1. 回收所有現(xiàn)有權限（先清空，避免殘留）
REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'backup_user'@'localhost';

-- 2. 重新授予最小權限（僅 mysqldump 必需）
GRANT SELECT, LOCK TABLES, REPLICATION CLIENT ON *.* TO 'backup_user'@'localhost';

-- 3. 刷新權限使修改生效
FLUSH PRIVILEGES;

-- 4. 驗證修改后的權限
SHOW GRANTS FOR 'backup_user'@'localhost';

-- 8.0 用 BACKUP_ADMIN 替代 SUPER，授予最小權限
REVOKE ALL PRIVILEGES FROM 'xtrabackup_user'@'localhost';
GRANT RELOAD, LOCK TABLES, REPLICATION CLIENT, BACKUP_ADMIN ON *.* TO 'xtrabackup_user'@'localhost';
FLUSH PRIVILEGES;

#!/bin/bash
# 檢查 backup_user 的權限是否包含無關權限
GRANTS=$(mysql -uroot -p'RootPass@123' -e "SHOW GRANTS FOR 'backup_user'@'localhost';" | grep -v 'GRANT')
# 檢查是否包含 UPDATE/DELETE/DROP 等危險權限
if echo "$GRANTS" | grep -E 'UPDATE|DELETE|DROP|ALL PRIVILEGES|SUPER'; then
  echo "告警：backup_user 權限包含危險權限，權限為：$GRANTS"
  # 可添加郵件/釘釘告警邏輯
else
  echo "backup_user 權限符合最小化要求，權限為：$GRANTS"
fi

crontab -e
# 添加一行：每天 0 點執(zhí)行
0 0 * * * /bin/bash /usr/local/bin/check_backup_perm.sh >> /var/log/mysql/perm_check.log 2>&1

# my.cnf 開啟審計（MySQL 8.0 可使用 audit_log 插件）
plugin-load-add = audit_log.so
audit_log_format = JSON
audit_log_events = CONNECT,QUERY
audit_log_file = /var/lib/mysql/audit.log
# 僅記錄權限相關操作（GRANT/REVOKE/ALTER USER）
audit_log_filter = '{"filter":{"log":{"query":"^(GRANT|REVOKE|ALTER USER|CREATE USER)"}}}'

grep 'GRANT' /var/lib/mysql/audit.log