拒绝访问;您需要(至少一个)超级权限才能执行此操作
Posted
技术标签:
【中文标题】拒绝访问;您需要(至少一个)超级权限才能执行此操作【英文标题】:Access denied; you need (at least one of) the SUPER privilege(s) for this operation 【发布时间】:2017-10-16 09:00:37 【问题描述】:所以我尝试将 sql 文件导入 rds (1G MEM, 1 CPU)。 sql文件好像1.4G
mysql -h xxxx.rds.amazonaws.com -u user -ppass --max-allowed-packet=33554432 db 它卡在: 实际的sql内容是: 还是没有运气。ERROR 1227 (42000) at line 374: Access denied; you need (at least one of) the SUPER privilege(s) for this operation
/*!50003 CREATE*/ /*!50017 DEFINER=`another_user`@`1.2.3.4`*/ /*!50003 TRIGGER `change_log_BINS` BEFORE INSERT ON `change_log` FOR EACH ROW
IF (NEW.created_at IS NULL OR NEW.created_at = '00-00-00 00:00:00' OR NEW.created_at = '') THEN
SET NEW.created_at = NOW();
END IF */;;
another_user
在 rds 中不存在,所以我这样做:GRANT ALL PRIVILEGES ON db.* TO another_user@'localhost';
【问题讨论】:
【参考方案1】:另一个有用的技巧是使用选项--set-gtid-purged=OFF
调用mysqldump,它不会将以下行写入输出文件:
SET @@SESSION.SQL_LOG_BIN= 0;
SET @@GLOBAL.GTID_PURGED=/*!80000 '+'*/ '';
SET @@SESSION.SQL_LOG_BIN = @MYSQLDUMP_TEMP_LOG_BIN;
不确定 DEFINER。
【讨论】:
谢谢!在 RDS 的情况下它对我有帮助 谢谢。就我而言,我在 MySql Workbench 中从源数据库的导出端运行SET @@GLOBAL.GTID_MODE = OFF;
我已经从转储文件中删除了这两行,然后它对我有用 --SET @@SESSION.SQL_LOG_BIN= 0; SET @@GLOBAL.GTID_PURGED=/*!80000 '+'*/ '';
谢谢。我通过在 MySQL Workbench 中指定 --set-gtid-purged=OFF
解决了这个问题。【参考方案2】:
问题
下面的语句或行你的转储文件创建问题
DEFINER=
username
@`%
简单的解决方案
您可以解决的解决方案是从 SQL 转储文件中删除所有条目并从 GCP 控制台 导入数据。
cat DUMP_FILE_NAME.sql | sed -e 's/DEFINER=`<username>`@`%`//g' > NEW-CLEANED-DUMP.sql
上述命令将有助于从转储文件中删除所有这些行,并在没有 Definer 的情况下创建新的新转储文件。
尝试导入新文件(NEW-CLEANED-DUMP.sql)。
【讨论】:
【参考方案3】:以上解决方案都不适合我。我必须执行以下操作:
在mysqldump
中使用以下标志:
mysqldump --databases <db1> <db2> --master-data=1 --single-transaction --order-
by-primary --foce -r all.sql -h<host> -u<user> -p<password>
删除如下所示的行:
CHANGE MASTER TO MASTER_LOG_FILE='binlog.....
在我的文件中,这是第 22 行,所以我运行:sed -i '22d' all.sql
将数据导入您的 RDS:
mysql -h<host> -u<user> -p<password>
$ source all.sql
【讨论】:
【参考方案4】:转储中的问题。
请尝试通过以下方式获取转储:
mysqldump -h databasehost --user=databaseusername --password --single-transaction databasename | sed -e 's/DEFINER[ ]=[ ][^]*/*/' | gzip > /tmp/database.sql.gz
然后,尝试通过以下方式导入:
zcat /tmp/database.sql.gz | mysql -h 数据库主机 -u 用户名 -p 数据库名
【讨论】:
【参考方案5】:如果有帮助,当我尝试在我的 AWS MySQL RDS 上恢复数据库转储时,我收到了以下错误:
ERROR 1227 (42000) at line 18: Access denied; you need (at least one of) the SUPER,
SYSTEM_VARIABLES_ADMIN or SESSION_VARIABLES_ADMIN privilege(s) for this operation
我不必更改 DEFINER 或删除/注释掉行。我刚刚做了:
GRANT SESSION_VARIABLES_ADMIN ON *.* TO myuser@'myhost';
GRANT SYSTEM_VARIABLES_ADMIN ON *.* TO myuser@'myhost';
我能够进行恢复。
【讨论】:
【参考方案6】:当我们创建一个新的 RDS 数据库实例时,默认的主用户不是 root 用户。但只能获得该数据库实例的某些特权。此权限不包括 SET 权限。现在如果您的默认主用户尝试执行 mysql SET 命令,那么您将面临以下错误:Access denied;您需要(至少其中一项)SUPER 或 SYSTEM_VARIABLES_ADMIN 权限才能执行此操作
解决方案 1
注释掉或删除这些行
SET @MYSQLDUMP_TEMP_LOG_BIN = @@SESSION.SQL_LOG_BIN;
SET @@SESSION.SQL_LOG_BIN= 1;
SET @@GLOBAL.GTID_PURGED=/*!80000 '+'*/ '';
解决方案 2
您也可以通过使用 -f 选项加载转储文件的其余部分来忽略错误。
mysql -f <REPLACE_DB_NAME> -u <REPLACE_DB_USER> -h <DB_HOST_HERE> -p < dumpfile.sql
【讨论】:
【参考方案7】:需要在服务器端设置“on”服务器参数“log_bin_trust_function_creators”。如果它是 azure maria db,您可以在左侧刀片上轻松找到这个。
【讨论】:
【参考方案8】:完整解决方案
以上所有解决方案都很好。在这里,我将结合所有解决方案,使其适用于所有情况。
-
固定定义器
适用于 Linux 和 Mac
sed -i old 's/\DEFINER\=`[^`]*`@`[^`]*`//g' file.sql
Windows
下载 atom 或 notepad++,使用 atom 或 notepad++ 打开您的转储 sql 文件,按 Ctrl+F
搜索单词 DEFINER,然后从任何地方删除 DEFINER=admin
@%
行(或者可能对您来说可能略有不同)并保存文件。
比如
在删除该行之前:CREATE DEFINER=admin
@%
PROCEDURE MyProcedure
删除该行后:CREATE PROCEDURE MyProcedure
-
删除 3 行
从转储文件中删除所有这 3 行。您可以使用 sed 命令或在 Atom 编辑器中打开文件并搜索每一行,然后删除该行。
示例:在 Atom 中打开 Dump2020.sql,按 ctrl+F,搜索 SET @@SESSION.SQL_LOG_BIN= 0,删除该行。
SET @@SESSION.SQL_LOG_BIN= 0;
SET @@GLOBAL.GTID_PURGED=/*!80000 '+'*/ '';
SET @@SESSION.SQL_LOG_BIN = @MYSQLDUMP_TEMP_LOG_BIN;
-
您生成的文件存在问题
如果您生成的 dump.sql 文件不正确,您可能会遇到一些问题。但在这里,我不会解释如何生成转储文件。但你可以问我 (_)
【讨论】:
【参考方案9】:当您恢复备份时,请务必尝试为旧用户名和新用户名使用相同的用户名。
【讨论】:
【参考方案10】:要以.sql.gz
格式导入数据库文件,请删除定义器并使用以下命令导入
zcat path_to_db_to_import.sql.gz | sed -e 's/DEFINER[ ]*=[ ]*[^*]*\*/\*/' | mysql -u user -p new_db_name
之前,使用以下命令以 .sql.gz 格式导出数据库。
mysqldump -u user -p old_db | gzip -9 > path_to_db_exported.sql.gz;
使用以下命令导入导出的数据库并删除定义器,
zcat path_to_db_exported.sql.gz | sed -e 's/DEFINER[ ]*=[ ]*[^*]*\*/\*/' | mysql -u user -p new_db
【讨论】:
【参考方案11】:* 答案可能仅适用于 MacOS *
在尝试将 .sql 文件导入 docker 容器时,我遇到了错误消息:
访问被拒绝;您需要(至少其中一项)超级权限 这个操作
然后在尝试其他一些建议时,我在我的 MacOS (osx) 上收到以下错误
sed: RE 错误:非法字节序列
最后,来自 resource 的以下命令解决了我的“拒绝访问”问题。
LC_ALL=C sed -i old 's/\DEFINER\=`[^`]*`@`[^`]*`//g' fileName.sql
所以我可以使用以下命令导入 docker 数据库:
docker exec -i dockerContainerName mysql -uuser -ppassword table < importFile.sql
希望这会有所帮助! :)
【讨论】:
【参考方案12】:问题:您正在尝试将数据(使用 mysqldump 文件)导入您的 mysql 数据库,但您似乎没有执行该操作的权限。
解决方案:假设您的数据已在 mysql 数据库中迁移、播种和更新,请使用 mysqldump 拍摄快照并将其导出到文件
mysqldump -u [username] -p [databaseName] --set-gtid-purged=OFF > [filename].sql
来自 mysql 文档:
GTID - 全局事务标识符 (GTID) 是创建的唯一标识符 并与源服务器上提交的每个事务相关联 (掌握)。此标识符不仅对它所在的服务器是唯一的 起源,但在给定复制中的所有服务器中是唯一的 设置。所有事务和所有事务之间存在一对一的映射 GTID。
--set-gtid-purged=OFF SET @@GLOBAL.gtid_purged 不会添加到输出中,并且 SET @@SESSION.sql_log_bin=0 不会添加到输出中。对于服务器 GTID 未使用,使用此选项或 AUTO。仅使用此选项 对于正在使用 GTID 的服务器,如果您确定所需的 GTID 集已存在于目标服务器上的 gtid_purged 中,并且 不应更改,或者如果您打算识别并添加任何缺失的 手动 GTID。
然后使用 root 用户连接到您的 mysql,授予权限,刷新它们,并验证您的用户权限是否已正确更新。
mysql -u root -p
UPDATE mysql.user SET Super_Priv='Y' WHERE user='johnDoe' AND host='%';
FLUSH PRIVILEGES;
mysql> SHOW GRANTS FOR 'johnDoe';
+------------------------------------------------------------------+
| Grants for johnDoe |
+------------------------------------------------------------------+
| GRANT USAGE ON *.* TO `johnDoe` |
| GRANT ALL PRIVILEGES ON `db1`.* TO `johnDoe` |
+------------------------------------------------------------------+
现在重新加载数据,应该允许该操作。
mysql -h [host] -u [user] -p[pass] [db_name] < [mysql_dump_name].sql
【讨论】:
【参考方案13】:如果您的转储文件没有DEFINER
,请确保下面的这些行也被删除(如果它们在那里),或者用--
注释掉:
一开始:
-- SET @@SESSION.SQL_LOG_BIN= 0;
-- SET @@GLOBAL.GTID_PURGED=/*!80000 '+'*/ '';
最后:
-- SET @@SESSION.SQL_LOG_BIN = @MYSQLDUMP_TEMP_LOG_BIN;
【讨论】:
您可以通过将--set-gtid-purged=OFF
添加到您的mysqldump
命令来阻止这些。在这里找到:***.com/a/56251925
@IllyaMoskvin 这对我有用。在我的 sql 工作台中导出日期时 --> 高级选项 --> set-gtid-purged - 将 'SET @@GLOBAL.GTID_PURGED' 添加到输出中 --> 设置为“OFF”
也为我工作。我有 mariadb 版本的 mysql。【参考方案14】:
我在*.sql
文件中注释了所有以SET
开头的行并且它有效。
【讨论】:
好人,真的很形象。你做得很好【参考方案15】:只是一个针对 hjpotter92 答案的 MacOS 额外更新。
要让sed
在 MacOS 中识别该模式,您必须在 =
符号前添加一个反斜杠,如下所示:
sed -i old 's/\DEFINER\=`[^`]*`@`[^`]*`//g' file.sql
【讨论】:
工作于 2020 年,在 macOS Catalina 上使用 MariaDB 10.4 这对我也适用于 MacOS。非常感谢!【参考方案16】:要么从 sqldump 文件中删除 DEFINER=..
语句,要么将用户值替换为 CURRENT_USER
。
RDS 提供的 MySQL 服务器不允许其他用户使用 DEFINER
语法(根据我的经验)。
您可以使用sed
脚本将它们从文件中删除:
sed 's/\sDEFINER=`[^`]*`@`[^`]*`//g' -i oldfile.sql
【讨论】:
你是对的。它不起作用的原因是,当登录用户没有SUPER
权限(RDS 本身不允许)时,将另一个用户指定为DEFINER
将允许任意权限升级——存储的程序运行默认情况下,他们的DEFINER
的凭据和权限(而不是调用用户的凭据和权限——他们的INVOKER
)。还有at Server Fault.
伙计,你是救生员。让我的托管公司在导出时告诉我数据库损坏并且无法恢复。完美的解决方案。
出于某种原因,我不得不使用 * 而不是 +:sed 's/\sDEFINER=`[^`]*`@`[^`]*`//' -i oldfile.sql
有更快的选择吗?如果 sql 文件很大,sed 会有点慢
@WonderLand 你可以试试awk
,它可能比sed
快一点以上是关于拒绝访问;您需要(至少一个)超级权限才能执行此操作的主要内容,如果未能解决你的问题,请参考以下文章
#1227 - 访问被拒绝;您需要(至少一个)超级权限才能在服务器 Cpanel 中执行此操作
#1227 - 访问被拒绝;您需要(至少一个)超级权限才能在 C 面板中进行此操作
#1227 - 访问被拒绝;您需要此操作的 SUPER 权限 - 如何解决?
如何解决访问被拒绝;您需要(至少一个)在 mysql 中执行此操作的 SUPER 权限