MySQL привилегия CREATE USER

1

1

Не могу найти нигде в документации: почему-то при создании пользователя, которому даётся привилегия CREATE USER, такой пользователь получает «автоматически» право на просмотр списка всех баз данных на сервере. Ну то есть я создаю пользователя вот так:

CREATE USER 'user1'@'localhost' IDENTIFIED BY 'mypass1';
GRANT CREATE USER ON *.* TO `user1`@`localhost` WITH GRANT OPTION;

…и в этот момент он получает право видеть список всех БД. Это нормально? Можно ли вообще как-то выдать право пользователю создавать других пользователей, но при этом видеть базы данных только по какому-либо префиксу («user1_%» в моём случае)? При этом написать привилегию как-то так:

GRANT CREATE USER ON "user1_%".*

…не получается - типа это глобальная привилегия.

Ссылка

←	CoreDNS и NXDOMAIN

Zabbix и брандмауэр

→

Зачем?
Mysql - это рсубд (обычно с одним пользователем - web), а не учётная система. Под случай шаред хостинга это тоже не подходит.

crutch_master ★★★★★
(01.04.21 17:11:51 MSK)

Ответ на: комментарий от crutch_master 01.04.21 17:11:51 MSK

На одном сервере работают разные приложения, каждое из которых может создавать вспомогательные базы данных. Я не хочу, чтобы какое-нибудь из приложений случайно попортило данные другого. И было бы уместно разделить их на уровне пользователей и их прав.

Novascriptum
(01.04.21 17:37:21 MSK) автор топика

Ответ на: комментарий от Novascriptum 01.04.21 17:37:21 MSK

На одном сервере работают разные приложения, каждое из которых может создавать вспомогательные базы данных. Я не хочу, чтобы какое-нибудь из приложений случайно попортило данные другого. И было бы уместно разделить их на уровне пользователей и их прав.

Такое можно настроить в mysql. Но в ОП ты хочешь большего.

goingUp ★★★★★
(01.04.21 17:39:12 MSK)

Ответ на: комментарий от Novascriptum 01.04.21 17:37:21 MSK

создавать вспомогательные базы данных

а причем тут это? базы данных это не таблицы же, или я не понял ТС

~~XoFfiCEr~~ ★★☆☆
(01.04.21 17:58:48 MSK)
Последнее исправление: XoFfiCEr 01.04.21 17:59:25 MSK (всего исправлений: 1)

Ответ на: комментарий от goingUp 01.04.21 17:39:12 MSK

Ну вот я могу настроить, чтобы один пользователь «видел» только свои базы данных и мог их создавать по определённому префиксу. Но не могу сделать, чтобы он при этом мог создавать других пользователей - и не получил одновременно доступ к другим базам данных (на уровне их чтения).

Novascriptum
(01.04.21 18:06:00 MSK) автор топика

Ответ на: комментарий от Novascriptum 01.04.21 18:06:00 MSK

У тебя софт, который создает пользователей? Как я понимаю, задача в лоб не решается, надо какой-то обходной путь, посему лучше огласить зачем это тебе.

goingUp ★★★★★
(01.04.21 18:12:48 MSK)

Ссылка

Ответ на: комментарий от XoFfiCEr 01.04.21 17:58:48 MSK

Я, наверное, неверно выразился. Приложение в процессе своей работы должно создавать свой экземпляр с отдельной базой данных. И, соответственно, mysql-пользователем, который имеет доступ к этой базе.

И самих приложений может быть несколько. Соответственно, у меня есть некие административные пользователи mysql (если можно так выразиться), которые имеют права на свои БД по префиксу и на создание других пользователей mysql, а также есть вот эти вспомогательные пользователи mysql, у каждого из которых доступ только на свою базу.

Вопрос касательно «административных» пользователей mysql, у которых права на создание других пользователей и на свои базы (по префиксу). Если я даю им привилегию CREATE USER, они начинают видеть все базы (в т.ч. пользователей других приложений).

Novascriptum
(01.04.21 18:13:38 MSK) автор топика
Последнее исправление: Novascriptum 01.04.21 18:14:06 MSK (всего исправлений: 1)

Ответ на: комментарий от Novascriptum 01.04.21 18:13:38 MSK

Я понял, ну какая то оболочка программная нужна к которой и придется слать запросы на создание БД, она должна также и доступом распоряжаться имхо.

~~XoFfiCEr~~ ★★☆☆
(01.04.21 18:18:43 MSK)

Ссылка

Ответ на: комментарий от Novascriptum 01.04.21 17:37:21 MSK

Делегируй создание юзеров/бд какому-нибудь админу.
Впрочем делать из mysql двузвенку-коммуналку - такая себе идея.

crutch_master ★★★★★
(02.04.21 04:11:00 MSK)
Последнее исправление: crutch_master 02.04.21 04:12:08 MSK (всего исправлений: 2)

Ссылка

А как ті хотел?

пользователь должен иметь право видеть все БД, раз он может дать права новому пользователю.

Как дать права на то, чего не видишь сам?

PunkoIvan ★★★★
(03.04.21 10:38:27 MSK)

Ответ на: комментарий от PunkoIvan 03.04.21 10:38:27 MSK

Мне не надо, чтобы он давал права другому пользователю на то, чего не имеет сам. Он видит, например, базы по шаблону «appname%». И должен создать пользователя, который видит только базы по подшаблону «appname_user1_%».

Novascriptum
(03.04.21 20:48:57 MSK) автор топика