拒绝访问;您需要(至少一个)超级权限才能执行此操作

Posted

技术标签:

【中文标题】拒绝访问;您需要(至少一个)超级权限才能执行此操作【英文标题】:Access denied; you need (at least one of) the SUPER privilege(s) for this operation 【发布时间】:2017-10-16 09:00:37 【问题描述】:

所以我尝试将 sql 文件导入 rds (1G MEM, 1 CPU)。 sql文件好像1.4G

mysql -h xxxx.rds.amazonaws.com -u user -ppass --max-allowed-packet=33554432 db

它卡在:

ERROR 1227 (42000) at line 374: Access denied; you need (at least one of) the SUPER privilege(s) for this operation

实际的sql内容是:

/*!50003 CREATE*/ /*!50017 DEFINER=`another_user`@`1.2.3.4`*/ /*!50003 TRIGGER `change_log_BINS` BEFORE INSERT ON `change_log` FOR EACH ROW
IF (NEW.created_at IS NULL OR NEW.created_at = '00-00-00 00:00:00' OR NEW.created_at = '') THEN
        SET NEW.created_at = NOW();
END IF */;;

another_user 在 rds 中不存在,所以我这样做:

GRANT ALL PRIVILEGES ON db.* TO another_user@'localhost';

还是没有运气。

【问题讨论】:

【参考方案1】:

另一个有用的技巧是使用选项--set-gtid-purged=OFF 调用mysqldump,它不会将以下行写入输出文件:

SET @@SESSION.SQL_LOG_BIN= 0;
SET @@GLOBAL.GTID_PURGED=/*!80000 '+'*/ '';
SET @@SESSION.SQL_LOG_BIN = @MYSQLDUMP_TEMP_LOG_BIN;

不确定 DEFINER。

【讨论】:

谢谢!在 RDS 的情况下它对我有帮助 谢谢。就我而言,我在 MySql Workbench 中从源数据库的导出端运行 SET @@GLOBAL.GTID_MODE = OFF; 我已经从转储文件中删除了这两行,然后它对我有用 --SET @@SESSION.SQL_LOG_BIN= 0; SET @@GLOBAL.GTID_PURGED=/*!80000 '+'*/ ''; 谢谢。我通过在 MySQL Workbench 中指定 --set-gtid-purged=OFF 解决了这个问题。【参考方案2】:

问题

下面的语句或行你的转储文件创建问题

DEFINER=username@`%

简单的解决方案

您可以解决的解决方案是从 SQL 转储文件中删除所有条目并从 GCP 控制台 导入数据。

 cat DUMP_FILE_NAME.sql |  sed -e 's/DEFINER=`<username>`@`%`//g' > NEW-CLEANED-DUMP.sql

上述命令将有助于从转储文件中删除所有这些行,并在没有 Definer 的情况下创建新的新转储文件。

尝试导入新文件(NEW-CLEANED-DUMP.sql)。

【讨论】:

【参考方案3】:

以上解决方案都不适合我。我必须执行以下操作:

mysqldump 中使用以下标志:

mysqldump --databases <db1> <db2> --master-data=1 --single-transaction --order- 
by-primary --foce -r all.sql -h<host> -u<user> -p<password>

删除如下所示的行:

CHANGE MASTER TO MASTER_LOG_FILE='binlog.....
在我的文件中,这是第 22 行,所以我运行:sed -i '22d' all.sql

将数据导入您的 RDS:

mysql -h<host> -u<user> -p<password>
$ source all.sql

【讨论】:

【参考方案4】:

转储中的问题。

请尝试通过以下方式获取转储:

mysqldump -h databasehost --user=databaseusername --password --single-transaction databasename | sed -e 's/DEFINER[ ]=[ ][^]*/*/' | gzip > /tmp/database.sql.gz

然后,尝试通过以下方式导入:

zcat /tmp/database.sql.gz | mysql -h 数据库主机 -u 用户名 -p 数据库名

【讨论】:

【参考方案5】:

如果有帮助,当我尝试在我的 AWS MySQL RDS 上恢复数据库转储时,我收到了以下错误:

ERROR 1227 (42000) at line 18: Access denied; you need (at least one of) the SUPER, 
SYSTEM_VARIABLES_ADMIN or SESSION_VARIABLES_ADMIN privilege(s) for this operation

我不必更改 DEFINER 或删除/注释掉行。我刚刚做了:

GRANT SESSION_VARIABLES_ADMIN ON *.* TO myuser@'myhost';
GRANT SYSTEM_VARIABLES_ADMIN ON *.* TO myuser@'myhost';

我能够进行恢复。

【讨论】:

【参考方案6】:

当我们创建一个新的 RDS 数据库实例时,默认的主用户不是 root 用户。但只能获得该数据库实例的某些特权。此权限不包括 SET 权限。现在如果您的默认主用户尝试执行 mysql SET 命令,那么您将面临以下错误:Access denied;您需要(至少其中一项)SUPER 或 SYSTEM_VARIABLES_ADMIN 权限才能执行此操作

解决方案 1

注释掉或删除这些行

SET @MYSQLDUMP_TEMP_LOG_BIN = @@SESSION.SQL_LOG_BIN;
SET @@SESSION.SQL_LOG_BIN= 1;
SET @@GLOBAL.GTID_PURGED=/*!80000 '+'*/ '';

解决方案 2

您也可以通过使用 -f 选项加载转储文件的其余部分来忽略错误。

mysql -f <REPLACE_DB_NAME> -u <REPLACE_DB_USER> -h <DB_HOST_HERE> -p < dumpfile.sql

【讨论】:

【参考方案7】:

需要在服务器端设置“on”服务器参数“log_bin_trust_function_creators”。如果它是 azure maria db,您可以在左侧刀片上轻松找到这个。

【讨论】:

【参考方案8】:

完整解决方案

以上所有解决方案都很好。在这里,我将结合所有解决方案,使其适用于所有情况。

    固定定义器

适用于 Linux 和 Mac

sed -i old 's/\DEFINER\=`[^`]*`@`[^`]*`//g' file.sql

Windows 下载 atom 或 notepad++,使用 atom 或 notepad++ 打开您的转储 sql 文件,按 Ctrl+F 搜索单词 DEFINER,然后从任何地方删除 DEFINER=admin@% 行(或者可能对您来说可能略有不同)并保存文件。 比如 在删除该行之前:CREATE DEFINER=admin@% PROCEDURE MyProcedure 删除该行后:CREATE PROCEDURE MyProcedure

    删除 3 行 从转储文件中删除所有这 3 行。您可以使用 sed 命令或在 Atom 编辑器中打开文件并搜索每一行,然后删除该行。 示例:在 Atom 中打开 Dump2020.sql,按 ctrl+F,搜索 SET @@SESSION.SQL_LOG_BIN= 0,删除该行。
SET @@SESSION.SQL_LOG_BIN= 0;
SET @@GLOBAL.GTID_PURGED=/*!80000 '+'*/ '';
SET @@SESSION.SQL_LOG_BIN = @MYSQLDUMP_TEMP_LOG_BIN;
    您生成的文件存在问题 如果您生成的 dump.sql 文件不正确,您可能会遇到一些问题。但在这里,我不会解释如何生成转储文件。但你可以问我 (_)

【讨论】:

【参考方案9】:

当您恢复备份时,请务必尝试为旧用户名和新用户名使用相同的用户名。

【讨论】:

【参考方案10】:

要以.sql.gz 格式导入数据库文件,请删除定义器并使用以下命令导入

zcat path_to_db_to_import.sql.gz | sed -e 's/DEFINER[ ]*=[ ]*[^*]*\*/\*/' | mysql -u user -p new_db_name

    之前,使用以下命令以 .sql.gz 格式导出数据库。

    mysqldump -u user -p old_db | gzip -9 &gt; path_to_db_exported.sql.gz;

    使用以下命令导入导出的数据库并删除定义器,

    zcat path_to_db_exported.sql.gz | sed -e 's/DEFINER[ ]*=[ ]*[^*]*\*/\*/' | mysql -u user -p new_db

【讨论】:

【参考方案11】:

* 答案可能仅适用于 MacOS *

在尝试将 .sql 文件导入 docker 容器时,我遇到了错误消息:

访问被拒绝;您需要(至少其中一项)超级权限 这个操作

然后在尝试其他一些建议时,我在我的 MacOS (osx) 上收到以下错误

sed: RE 错误:非法字节序列

最后,来自 resource 的以下命令解决了我的“拒绝访问”问题。

LC_ALL=C sed -i old 's/\DEFINER\=`[^`]*`@`[^`]*`//g' fileName.sql

所以我可以使用以下命令导入 docker 数据库:

docker exec -i dockerContainerName mysql -uuser -ppassword table < importFile.sql

希望这会有所帮助! :)

【讨论】:

【参考方案12】:

问题:您正在尝试将数据(使用 mysqldump 文件)导入您的 mysql 数据库,但您似乎没有执行该操作的权限。

解决方案:假设您的数据已在 mysql 数据库中迁移、播种和更新,请使用 mysqldump 拍摄快照并将其导出到文件

mysqldump -u [username] -p [databaseName] --set-gtid-purged=OFF > [filename].sql

来自 mysql 文档:

GTID - 全局事务标识符 (GTID) 是创建的唯一标识符 并与源服务器上提交的每个事务相关联 (掌握)。此标识符不仅对它所在的服务器是唯一的 起源,但在给定复制中的所有服务器中是唯一的 设置。所有事务和所有事务之间存在一对一的映射 GTID。

--set-gtid-purged=OFF SET @@GLOBAL.gtid_purged 不会添加到输出中,并且 SET @@SESSION.sql_log_bin=0 不会添加到输出中。对于服务器 GTID 未使用,使用此选项或 AUTO。仅使用此选项 对于正在使用 GTID 的服务器,如果您确定所需的 GTID 集已存在于目标服务器上的 gtid_purged 中,并且 不应更改,或者如果您打算识别并添加任何缺失的 手动 GTID。

然后使用 root 用户连接到您的 mysql,授予权限,刷新它们,并验证您的用户权限是否已正确更新。

mysql -u root -p
UPDATE mysql.user SET Super_Priv='Y' WHERE user='johnDoe' AND host='%';
FLUSH PRIVILEGES;
mysql> SHOW GRANTS FOR 'johnDoe';
+------------------------------------------------------------------+
| Grants for johnDoe                                               |
+------------------------------------------------------------------+
| GRANT USAGE ON *.* TO `johnDoe`                                  |
| GRANT ALL PRIVILEGES ON `db1`.* TO `johnDoe`                     |
+------------------------------------------------------------------+

现在重新加载数据,应该允许该操作

mysql -h [host] -u [user] -p[pass] [db_name] < [mysql_dump_name].sql

【讨论】:

【参考方案13】:

如果您的转储文件没有DEFINER,请确保下面的这些行也被删除(如果它们在那里),或者用-- 注释掉:

一开始:

-- SET @@SESSION.SQL_LOG_BIN= 0;
-- SET @@GLOBAL.GTID_PURGED=/*!80000 '+'*/ '';

最后:

-- SET @@SESSION.SQL_LOG_BIN = @MYSQLDUMP_TEMP_LOG_BIN;

【讨论】:

您可以通过将--set-gtid-purged=OFF 添加到您的mysqldump 命令来阻止这些。在这里找到:***.com/a/56251925 @IllyaMoskvin 这对我有用。在我的 sql 工作台中导出日期时 --> 高级选项 --> set-gtid-purged - 将 'SET @@GLOBAL.GTID_PURGED' 添加到输出中 --> 设置为“OFF” 也为我工作。我有 mariadb 版本的 mysql。【参考方案14】:

我在*.sql 文件中注释了所有以SET 开头的行并且它有效。

【讨论】:

好人,真的很形象。你做得很好【参考方案15】:

只是一个针对 hjpotter92 答案的 MacOS 额外更新。

要让sed 在 MacOS 中识别该模式,您必须在 = 符号前添加一个反斜杠,如下所示:

sed -i old 's/\DEFINER\=`[^`]*`@`[^`]*`//g' file.sql

【讨论】:

工作于 2020 年,在 macOS Catalina 上使用 MariaDB 10.4 这对我也适用于 MacOS。非常感谢!【参考方案16】:

要么从 sqldump 文件中删除 DEFINER=.. 语句,要么将用户值替换为 CURRENT_USER

RDS 提供的 MySQL 服务器不允许其他用户使用 DEFINER 语法(根据我的经验)。

您可以使用sed 脚本将它们从文件中删除:

sed 's/\sDEFINER=`[^`]*`@`[^`]*`//g' -i oldfile.sql

【讨论】:

你是对的。它不起作用的原因是,当登录用户没有SUPER 权限(RDS 本身不允许)时,将另一个用户指定为DEFINER 将允许任意权限升级——存储的程序运行默认情况下,他们的DEFINER 的凭据和权限(而不是调用用户的凭据和权限——他们的INVOKER)。还有at Server Fault. 伙计,你是救生员。让我的托管公司在导出时告诉我数据库损坏并且无法恢复。完美的解决方案。 出于某种原因,我不得不使用 * 而不是 +:sed 's/\sDEFINER=`[^`]*`@`[^`]*`//' -i oldfile.sql 有更快的选择吗?如果 sql 文件很大,sed 会有点慢 @WonderLand 你可以试试awk,它可能比sed快一点

以上是关于拒绝访问;您需要(至少一个)超级权限才能执行此操作的主要内容,如果未能解决你的问题,请参考以下文章

#1227 - 访问被拒绝;您需要(至少一个)超级权限才能在服务器 Cpanel 中执行此操作

#1227 - 访问被拒绝;您需要(至少一个)超级权限才能在 C 面板中进行此操作

#1227 - 访问被拒绝;您需要此操作的 SUPER 权限 - 如何解决?

如何解决访问被拒绝;您需要(至少一个)在 mysql 中执行此操作的 SUPER 权限

在 phpMyAdmin 中创建函数 - 错误:拒绝访问您需要此操作的超级权限

谷歌云sql实例超级权限错误