[Technik] Re: phpmyadmin Liste aller Tabellen sichtbar (chg00)

[Mika Fischer]

Sven Hilbert schrieb:
>> Hmm... Ich benutze eigentlich immer nur den Paket-Admin-User für
>> PHPMyAdmin, da der automatisch alle (meine :)) Datenbanken bearbeiten
>> darf. Bei einem anderen User müsste ich immer alle neu angelegten
>> Datenbanken per GRANT freigeben, oder? GRANT all ON *.* geht ja nicht...
> Ja, ist sozusagen eine Geschmacksfrage. Wenn es dich nicht stört, diese
> lange Liste der DBs zu sehen und du sicher bist, daß deine Programme die
> Mächtigkeit des Admin-Users nicht mißbrauchen, kannst du auch nur den
> Admin-User benutzen.

Äh, ich benutze den Paket-Admin-User *nur* für die mysql-Kommandozeile
und für PHPMyAdmin eben. Meine Programme benutzen schon eigene
MySQL-User, die nur die nötigsten Rechte haben...

> Es zwingt dich keiner, aber es ist empfehlenswert, den Paket-Admin-User nur
> für administrative Zwecke zu benutzen und für den alltäglichen Aufruf deiner
> DBs einen eingeschränkten User zu benutzen. Allerdings mußt du diesem
> eingeschränkten User tatsächlich für alle DBs einzeln die gewünschten Rechte
> GRANTen.

Jup, s.o.

Allerdings sehe ich PHPMyAdmin als administrative Tätigkeit an und ich
hab einfach keine Lust mich zehnmal mit anderen Passworten in PHPMyAdmin
einzuloggen, wenn ich meine Datenbanken bearbeiten will.

>> Ich kenn mich da nicht so aus, daher ein paar Fragen:
>> Sind die o.g. Rechte zu irgendwas wichtigem gut?
> 
> Das ist halt ein neues Feature von mySQL. Wenn du dich da einarbeitest,
> kannst du damit natürlich tolle Sachen machen. Da es das bisher aber nicht
> bei uns gab, heißt das, daß alle bisherigen Aufgaben, die du mit mySQL
> umgesetzt hast, auch ohne diese Rechte funktionieren.

Ist auch klar. Die Frage war eher so gemeint: Sind das exotische Sachen,
die eh niemand benutzt, oder haben sie ihre Berechtigung und sollten
angeschaltet bleiben?

>> Würde es weh tun sie standardmäßig zu entfernen?
> 
> Nicht, solange du dieses Feature nicht nutzen willst.

Mit standardmäßig meinte ich eben bei allen Usern. S.o.

>> Oder könnte man den Paket-Admins (z.B. via dbadmin) die Möglichkeit
>> geben, sich selber diese Rechte zu entziehen und bei Bedarf dann wieder
>> zu geben?
> 
> Via dbadmin geht das Rechte manipulieren nicht, da mußt du schon in den
> mysql-monitor rein.

Das geht im Moment nicht, das ist richtig. Allerdings kann man mit
dbadmin Sachen machen, die man auf der MySQL-Kommandozeile nicht darf,
daher der Vorschlag.

> Dem Paket-Admin-User würde ich aber keine Rechte entziehen, der soll doch
> alles können, dann wirklich lieber einen eingeschränkten User anlegen.
>
> Außerdem ist das Rechte entziehen ja offensichtlich ein Problem (access
> denied), sprich nicht möglich. Und ob du deinem User diese Recht geben
> kannst, oder ob das die Hostmaster machen müssen, weil diese Rechte global
> sein müssen (ON *.*), weiß ich im Moment nicht, habe ich nicht ausprobiert.

Dann gibt es aber nur die Möglichkeiten:
1) Für den Paket-Admin wird PHPMyAdmin unbequem weil alle Datenbanken
angezeigt werden. Er hat keine Möglichkeit dies zu ändern.
2) Es wird ein User xyz00-admin angelegt, per Hand Rechte an allen
eigenen Datenbanken gegeben und die GRANTS dann manuell nachgezogen,
wenn neue Datenbanken hinzu kommen.

Das sieht mir doch beides reichlich unbequem aus, oder nicht?

Gruß,
 Mika