MySQL PAM Plugin設定

  • 安裝
在my.cnf中設定後重開: 
[mysqld]
plugin-load=authentication_pam.so
  • 在Linux中設定
在/etc/pam.d中新增一個文件,名稱與服務相同(若服務為mysql檔名就叫mysql,若叫mysqld就叫mysqld)
vim /etc/pam.d/mysql

#%PAM-1.0
auth            include         password-auth
account         include         password-auth
  • 使用PAM來登入MySQL
如果可以讓使用都屬在mysql的群組中,不行的話就要透過proxy來mapping使用者
mysql> create user 'wang'@'127.0.0.1' IDENTIFIED WITH authentication_pam as 'mysql';

     ^^^後面as 'mysql'這個就是pam.d裡面設的那個檔案名稱

記得權限要另外設定

  • 除錯
登入時一直出現ERROR 1045 (28000): Access denied for user 'wang'@'127.0.0.1' (using password: YES),在/var/log/security中記錄:
Jun 18 19:23:31 ol65 unix_chkpwd[7097]: check pass; user unknown
Jun 18 19:23:31 ol65 unix_chkpwd[7099]: check pass; user unknown
Jun 18 19:23:31 ol65 unix_chkpwd[7099]: password check failed for user (wang)
Jun 18 19:23:31 ol65 mysqld: pam_unix(mysql:auth): authentication failure; logname= uid=496 euid=496 tty= ruser=wang rhost=127.0.0.1  user=wang

這個原因是mysql這個服務的權限無法讀取/etc/shadow的內容導致的問題,解法:
[root@ol65 pam.d]# chown root:mysql /etc/shadow
[root@ol65 pam.d]# chmod g+r /etc/shadow

參考https://revolutionanalytics.zendesk.com/entries/83870646-Configuring-PAM-authentication-on-Red-Hat-Enterprise-Linux-6-5-on-AWS

2017/2/20更新:
之前的解法是直接把/etc/shadow這個檔案的群組設給mysql有權限去讀,顯然不是個好做法 本次更新將mysql這個使用者加到shadow的群組之下,並將/etc/shadow的群組權限給shadow: 
[root@mysql-course percona57]# usermod -a -G shadow mysql
[root@mysql-course percona57]# grep 'shadow' /etc/group
shadow:x:985:mysql
[root@mysql-course mysql-ee]# ls -alh /etc/shadow
----r----- 1 root shadow 1.4K Feb 20 14:58 /etc/shadow
[root@mysql-course percona57]# mysql.server restart (記得要重啟mysqld服務才會生效)

留言

張貼留言

這個網誌中的熱門文章

【工作筆記】SQL Timeout追蹤

圖片
幾個禮拜前去客戶那處理『SQL效能問題』,到場後,問題延伸為『SQL不定期發生Timeout的問題』 【客戶問題描述】 AP會建立100多個連線,且同時會將程式用幾十個連線來並行處理事務,會在不固定的時間會發生SQL Timeout的問題,由程式端無法定位是哪句SQL以及哪支程式導致的問題,在DB端也不會看到任何的錯誤訊息及警告訊息出現在Error Log中  【架構背景】 OS: CentOS 6.8, CPU 20 Cores, RAM 64G, HDD RAID 10 DB: MariaDB 10.0.1 Galera Cluster 【問題追踨】 在執行壓測過程中監控作業系統的狀態,包括CPU、RAM、IO的負載狀況 =>監控的結果CPU的load average大約在1,RAM有使用到少量的SWAP,cached的部份還有滿多可以使用,IO的負載不算太高,整體看來應該不是硬體方面造成的問題 在執行壓測過程中監控資料庫的錯誤日誌、慢查詢記錄、show processlist的狀況 =>錯誤日誌並未記錄到任何的錯誤及警告訊息,慢查詢只有其他資料庫中全表掃描的記錄,show processlist看到多數的連線均為sleep狀態,且SQL執行的時間都很短 在執行壓測過程中監控InnoDB的狀態 ------------------------ LATEST DETECTED DEADLOCK ------------------------ 2017-01-17 16:02:22 7fd7a00e6700 *** (1) TRANSACTION: TRANSACTION 755310052, ACTIVE 2 sec fetching rows mysql tables in use 1, locked 1 LOCK WAIT 6 lock struct(s), heap size 1184, 154 row lock(s) MySQL thread id 2916595, OS thread handle 0x7fdd2d9fe700, query id 213093063 192.168.3.2 tsap Sending data SELECT id, cid, time, retry FROM ss WHERE r
閱讀完整內容

MySQL監控軟體MEM及PMM介紹

圖片
MySQL監控軟體: PMP(Percona Monitoring Plugin) :Percona之前的監控是以Plugin或Template的方式加載到其他的監控軟體上,他有支援Zabbix、Nagios和Cacti等3個常用的監控軟體,詳細的介紹可以參考官網: Percona Monitoring Plugins MEM(MySQL Enterprise Monitor) :官方提供的監控軟體,需購企業版才能使用此功能,可以監控DB內的狀況和InnoDB、NDB、Replication等的內容,另外還可以監控作業系統上的部份內容,例如硬碟、CPU、RAM、網路…等使用狀況,除了監控之外,還有Query Analyzer及發送告警功能,詳細的介紹參考官網: MySQL Enterprise Monitor PMM(Percona Monitoring and Management) :它是一個用於管理及監控MySQL及MongoDB效能的開源平台,它提供了對MyISAM、InnoDB、TokuDB和PXC/Glarera的監控,另外也提供了與MEM類似的Query Analytics的功能,可以檢視執行了哪些SQL指令,並對執行效能較差的語法進行優化;針對作業系統的部份也提供了硬碟、網路、CPU和RAM的監控,特別的是它提供了Context switches、Processes和interrupts的監控,Context Switches可以看到CPU上下切換文的狀況,Processes可以方便了解系統有多少程序在等待I/O,這3個是MEM沒有提供的。詳細內容參考官方: Percona Monitoring and Management 架構說明: MEM架構 MEM是由Java+Apache Tomcat+MySQL組成的監控軟體 主要安裝Service Manager(也可稱Monitor Server)它有內建一個Agent可以讓你遠端監控 或者是另外在MySQL Server上安裝Agent軟體,其差別在於能否搜集作業系統上的資訊,裝了Agent才能在作業系統上搜集資訊 而DB端的資訊會透過本機或Service Manager的Agent,連到DB裡的Performance Schema中搜集資訊,再儲存到Servi
閱讀完整內容

MySQL Router 設定檔說明

設定檔範例:       [DEFAULT] logging_folder  = /opt/mysql-router/log plugin_folder   = /opt/mysql-router/lib/mysqlrouter runtime_folder  = /opt/mysql-router/run config_folder   = /opt/mysql-router [logger] level = INFO ## these section are only for standalone [routing:read_write] bind_address    = 192.168.56.107 bind_port       = 7001 destinations    = 192.168.56.102:3306,192.168.56.102:3307 mode            = read-write connect_timeout    = 5 max_connections   = 100 [routing:read_only] bind_address    = 192.168.56.107 bind_port       = 7002 destinations    = 192.168.56.102:3308,192.168.56.102:3309 mode            = read-only connect_timeout    = 1 max_connections   = 100 ## these section are used for Fabric [fabric_cache:my_fabric] address    = 192.168.56.101 user         = fabric [routing:fabric_rw] bind_port       = 7001 mode            = read-write destinations    = fabric+cache://my_fabric/group/mygroup1 [routing:fabric_ro] bind_port       = 7002
閱讀完整內容