Jak przekazać hasło do pg_dump?

Próbuję utworzyć cronjob do tworzenia kopii zapasowych mojej bazy danych każdej nocy, zanim wydarzy się coś katastrofalnego. Wygląda na to, że to polecenie powinno spełniać moje potrzeby:

0 3 * * * pg_dump dbname | gzip > ~/backup/db/$(date +%Y-%m-%d).psql.gz

Z wyjątkiem tego, że po uruchomieniu tego wymaga ode mnie wpisania hasła. Nie mogę tego zrobić, jeśli uruchomię go z crona. Jak mogę przekazać je automatycznie?

Utwórz .pgpassplik w katalogu głównym konta, które pg_dumpbędzie działać jako. Zobacz dokumentację Postgresql libpq-pgpass, aby uzyskać szczegółowe informacje na temat formatu (w tym ostatni akapit, w którym wyjaśniono, że zostanie zignorowany, jeśli nie ustawisz trybu na 0600).

Lub możesz skonfigurować crontab do uruchamiania skryptu. Wewnątrz tego skryptu możesz ustawić zmienną środowiskową taką jak ta: export PGPASSWORD="$put_here_the_password"

W ten sposób, jeśli masz wiele poleceń wymagających hasła, możesz umieścić je wszystkie w skrypcie. Jeśli hasło się zmieni, musisz je zmienić tylko w jednym miejscu (skrypt).

I zgadzam się z Joshua, użycie pg_dump -Fcgeneruje najbardziej elastyczny format eksportu i jest już skompresowany. Aby uzyskać więcej informacji, zobacz: dokumentacja pg_dump

Na przykład

# dump the database in custom-format archive
pg_dump -Fc mydb > db.dump

# restore the database
pg_restore -d newdb db.dump

Jeśli chcesz to zrobić za pomocą jednego polecenia:

PGPASSWORD="mypass" pg_dump mydb > mydb.dump

W przypadku jednowierszowego, takiego jak migracja bazy danych, można użyć --dbnamełańcucha połączenia (w tym hasła), zgodnie z instrukcją pg_dump

W istocie.

pg_dump --dbname=postgresql://username:[email protected]:5432/mydatabase

Uwaga: Upewnij się, że używasz opcji --dbnamezamiast krótszej -di używasz poprawnego prefiksu URI, postgresql://lub postgres://.

Ogólny formularz URI to:

postgresql://[user[:password]@][netloc][:port][/dbname][?param1=value1&...]

Najlepsza praktyka w twoim przypadku (powtarzalne zadanie w cronie) nie powinno się tego robić z powodu problemów z bezpieczeństwem. Gdyby nie .pgpassplik, zapisałbym ciąg połączenia jako zmienną środowiskową.

export MYDB=postgresql://username:[email protected]:5432/mydatabase

więc miejcie w swoim crontabie

0 3 * * * pg_dump --dbname=$MYDB | gzip > ~/backup/db/$(date +%Y-%m-%d).psql.gz

$ PGPASSWORD="mypass" pg_dump -i -h localhost -p 5432 -U username -F c -b -v -f dumpfilename.dump databasename

Ta jedna linijka pomaga mi podczas tworzenia zrzutu pojedynczej bazy danych.

PGPASSWORD="yourpassword" pg_dump -U postgres -h localhost mydb > mydb.pgsql

@Josue Alexander Ibarra odpowiedź działa na centos 7 i wersji 9.5, jeśli --dbname nie zostanie przekazane.

pg_dump postgresql://username:[email protected]:5432/mydatabase 

Pamiętaj, że w systemie Windows pgpass.confplik musi znajdować się w następującym folderze:

%APPDATA%\postgresql\pgpass.conf

jeśli w postgresqlfolderze nie ma %APPDATA%folderu, utwórz go.

pgpass.confzawartość pliku jest coś takiego:

localhost:5432:dbname:dbusername:dbpassword

Twoje zdrowie

Popraw mnie, jeśli się mylę, ale jeśli użytkownik systemu jest taki sam jak użytkownik bazy danych, PostgreSQL nie poprosi o hasło - polega na systemie do uwierzytelnienia. Może to być kwestia konfiguracji.

Tak więc, gdy chciałem właściciela bazy danych postgresdo tworzenia kopii zapasowych swoich bazach danych każdej nocy, mogę stworzyć crontab dla niego: crontab -e -u postgres. Oczywiście postgresnależałoby zezwolić na wykonywanie zadań crona; dlatego musi być wymieniony w /etc/cron.allowlub /etc/cron.denymusi być pusty.

Wykonaj kopię zapasową przez ssh za pomocą hasła przy użyciu tymczasowych poświadczeń .pgpass i przekaż do S3:

#!/usr/bin/env bash
cd "$(dirname "$0")"

DB_HOST="*******.*********.us-west-2.rds.amazonaws.com"
DB_USER="*******"
SSH_HOST="[email protected]_domain.com"
BUCKET_PATH="bucket_name/backup"

if [ $# -ne 2 ]; then
    echo "Error: 2 arguments required"
    echo "Usage:"
    echo "  my-backup-script.sh <DB-name> <password>"
    echo "  <DB-name> = The name of the DB to backup"
    echo "  <password> = The DB password, which is also used for GPG encryption of the backup file"
    echo "Example:"
    echo "  my-backup-script.sh my_db my_password"
    exit 1
fi

DATABASE=$1
PASSWORD=$2

echo "set remote PG password .."
echo "$DB_HOST:5432:$DATABASE:$DB_USER:$PASSWORD" | ssh "$SSH_HOST" "cat > ~/.pgpass; chmod 0600 ~/.pgpass"
echo "backup over SSH and gzip the backup .."
ssh "$SSH_HOST" "pg_dump -U $DB_USER -h $DB_HOST -C --column-inserts $DATABASE" | gzip > ./tmp.gz
echo "unset remote PG password .."
echo "*********" | ssh "$SSH_HOST" "cat > ~/.pgpass"
echo "encrypt the backup .."
gpg --batch --passphrase "$PASSWORD" --cipher-algo AES256 --compression-algo BZIP2 -co "$DATABASE.sql.gz.gpg" ./tmp.gz

# Backing up to AWS obviously requires having your credentials to be set locally
# EC2 instances can use instance permissions to push files to S3
DATETIME=`date "+%Y%m%d-%H%M%S"`
aws s3 cp ./"$DATABASE.sql.gz.gpg" s3://"$BUCKET_PATH"/"$DATABASE"/db/"$DATETIME".sql.gz.gpg
# s3 is cheap, so don't worry about a little temporary duplication here
# "latest" is always good to have because it makes it easier for dev-ops to use
aws s3 cp ./"$DATABASE.sql.gz.gpg" s3://"$BUCKET_PATH"/"$DATABASE"/db/latest.sql.gz.gpg

echo "local clean-up .."
rm ./tmp.gz
rm "$DATABASE.sql.gz.gpg"

echo "-----------------------"
echo "To decrypt and extract:"
echo "-----------------------"
echo "gpg -d ./$DATABASE.sql.gz.gpg | gunzip > tmp.sql"
echo

Wystarczy zastąpić pierwszą parę linii konfiguracji tym, czego potrzebujesz - oczywiście. Dla tych, którzy nie są zainteresowani częścią zapasową S3, wyjmij ją - oczywiście.

Skrypt ten usuwa później poświadczenia, .pgpassponieważ w niektórych środowiskach domyślny użytkownik SSH może sudo bez hasła, na przykład wystąpienie EC2 z ubuntuużytkownikiem, więc używanie .pgpassinnego konta hosta w celu zabezpieczenia tych poświadczeń może być bezcelowe.

Jak szczegółowo opisano w tym poście na blogu , istnieją dwa sposoby nieinteraktywnego podania hasła do narzędzi PostgreSQL, takich jak polecenie „pg_dump”: użycie pliku „.pgpass” lub użycie zmiennej środowiskowej „PGPASSWORD” .

Innym (prawdopodobnie nie bezpiecznym) sposobem na podanie hasła jest przekierowanie wejściowe, tj. Wywołanie

pg_dump [params] < [path to file containing password]

Możesz przekazać hasło bezpośrednio do pg_dump, używając następujących poleceń:

pg_dump "host=localhost port=5432 dbname=mydb user=myuser password=mypass" > mydb_export.sql

według mnie najłatwiejszy sposób: edytujesz główny plik konfiguracyjny postgres: pg_hba.conf tam musisz dodać następujący wiersz:

host <you_db_name> <you_db_owner> 127.0.0.1/32 trust

a potem musisz zacząć cron w ten sposób:

pg_dump -h 127.0.0.1 -U <you_db_user> <you_db_name> | gzip > /backup/db/$(date +%Y-%m-%d).psql.gz

i działało bez hasła