MySQL 8.0 OCP 1Z0-908 题目解析(23)

题目89

Choose the best answer.

You have configured MySQL Enterprise Transparent Data Encryption (TDE).

What command would you use to encrypt a table?

○ A) UPDATE

翻译

选择最佳答案。

你已配置 MySQL Enterprise 透明数据加密（TDE）。

你会使用什么命令来加密一个表？

○ A) UPDATE

解析和答案

• 选项A：UPDATE 语句用于修改表中的数据行，不能用于设置表的加密属性，A错误。
• 选项B：该命令用于轮换 InnoDB 主密钥，不是加密表，B错误。
• 选项C：information_schema.tables 是系统视图，不应直接更新其数据来设置表属性，C错误。
• 选项D：ALTER TABLE 语句可用于修改表的加密属性，设置 ENCRYPTION='Y' 能启用表的加密，D正确。

所以答案是D。

知识点总结

• MySQL TDE 表加密操作：在 MySQL Enterprise TDE 中，加密表需使用 ALTER TABLE 语句设置 ENCRYPTION 属性。掌握正确的 SQL 语法，能够按需对表进行加密，保障数据在存储层面的安全性。
• 数据库加密管理：对于透明数据加密（TDE ），表加密是重要的应用场景。通过 ALTER TABLE 命令，可便捷地启用或调整表的加密状态，与 TDE 整体配置配合，实现数据的加密存储，提升数据库的安全防护能力。

题目90

Choose the best answer.

You execute this command:

shell> mysqlpump --exclude-databases=% --users

Which statement is true?

○ A) It creates a logical backup of all metadata, but contains no table data.
○ B) It returns an error because the mysqldump command should have been used.
○ C) It creates a logical backup of only the users database.
○ D) It creates a logical backup of all MySQL user accounts.

翻译

选择最佳答案。

你执行以下命令：

shell> mysqlpump --exclude-databases=% --users

哪个陈述是正确的？

○ A) 它创建所有元数据的逻辑备份，但不包含表数据。
○ B) 它返回错误，因为应该使用 mysqldump 命令。
○ C) 它仅创建 users 数据库的逻辑备份。
○ D) 它创建所有 MySQL 用户账户的逻辑备份。

解析和答案

• 选项A：mysqlpump --users 主要备份用户账户，不是所有元数据，A错误。
• 选项B：mysqlpump 可用于备份用户账户，不会报错，B错误。
• 选项C：--exclude-databases=% 排除所有数据库，--users 是备份用户账户，不是备份 users 数据库，C错误。
• 选项D：--users 选项让 mysqlpump 备份所有 MySQL 用户账户，D正确。

所以答案是D。

知识点总结

• mysqlpump 工具用法：掌握 mysqlpump 工具的选项含义，--users 用于备份用户账户，--exclude-databases=% 排除所有数据库备份。理解该工具在备份用户账户场景中的应用，能够精准备份用户权限相关信息，便于在数据库迁移、恢复时快速还原用户体系，保障数据库权限管理的一致性。
• 数据库备份策略：在数据库备份中，除了数据和表结构，用户账户及权限也是重要的备份内容。利用 mysqlpump 的 --users 选项，可单独备份用户账户，与数据备份配合，构建完整的备份策略。在需要还原用户权限时，能够快速导入备份的用户账户信息，提升数据库运维效率。

题目91

Choose two.

Examine Joe’s account:

CREATE USER 'joe'@'%' IDENTIFIED BY 'secret';
GRANT ALL PRIVILEGES ON *.* TO 'joe'@'%';

All existing connections for joe are killed.

Which two commands will stop joe establishing access to the MySQL instance?

□ A) ALTER USER ‘joe’@‘%’ ACCOUNT LOCK;
□ B) ALTER USER ‘joe’@‘%’ PASSWORD HISTORY 0;
□ C) REVOKE ALL PRIVILEGES ON . FROM ‘joe’@‘%’;
□ D) ALTER USER ‘joe’@‘%’ SET password=‘invalid’;
□ E) ALTER USER ‘joe’@‘%’ IDENTIFIED BY ‘invalid’ PASSWORD EXPIRE;
□ F) REVOKE USAGE ON . FROM ‘joe’@‘%’;

翻译

选择两项。

查看 Joe 的账户：

CREATE USER 'joe'@'%' IDENTIFIED BY 'secret';
GRANT ALL PRIVILEGES ON *.* TO 'joe'@'%';

Joe 的所有现有连接已被终止。

哪两个命令可以阻止 Joe 建立对 MySQL 实例的访问？

□ A) ALTER USER 'joe'@'%' ACCOUNT LOCK;
□ B) ALTER USER 'joe'@'%' PASSWORD HISTORY 0;
□ C) REVOKE ALL PRIVILEGES ON *.* FROM 'joe'@'%';
□ D) ALTER USER 'joe'@'%' SET password='invalid';
□ E) ALTER USER 'joe'@'%' IDENTIFIED BY 'invalid' PASSWORD EXPIRE;
□ F) REVOKE USAGE ON *.* FROM 'joe'@'%';

解析和答案

• 选项A：ACCOUNT LOCK 会锁定账户，使 Joe 无法登录，A正确。
• 选项B：PASSWORD HISTORY 0 是设置密码历史记录，不影响登录，B错误。
• 选项C：REVOKE ALL PRIVILEGES 仅回收权限，但用户仍可登录（无权限操作 ），不能阻止建立访问，C错误。
• 选项D：修改密码为 invalid，若 Joe 知道新密码仍可登录，D错误。
• 选项E：PASSWORD EXPIRE 使密码过期，Joe 登录时需修改密码，否则无法访问，E正确。
• 选项F：REVOKE USAGE 实际是回收登录权限（USAGE 是默认的登录权限 ），但 MySQL 中 REVOKE USAGE 需配合具体权限，单独执行可能不生效（因为 USAGE 是隐含的 ），通常阻止登录更有效的方式是锁定账户或设密码过期，F错误。

所以答案是A、E。

知识点总结

• MySQL 用户账户管理：掌握阻止用户访问 MySQL 实例的有效方法，如锁定账户（ACCOUNT LOCK ）、设置密码过期（PASSWORD EXPIRE ）。在用户权限管理中，根据需求选择合适的操作，确保账户安全。锁定账户可直接禁止登录，密码过期可强制用户修改密码后才能访问，灵活运用这些功能，提升数据库的安全性。
• 数据库安全运维：在数据库安全运维中，用户账户的访问控制是关键。通过锁定账户、管理密码策略（如密码过期 ），可有效防止未授权访问。了解不同操作对用户访问的影响，能够在需要限制用户访问时，精准选择命令，保障数据库的安全性和合规性。

题目92

Choose two.

Examine this command and output:

root@dbhost:/var/lib/mysql# ls -al
total 540
drwxrwxr-x 1 mysql mysql    4096 Aug 22 14:07 .
drwxr-xr-x 1 root  root     4096 May 22 00:42 ..
-rw-r----- 1 mysql mysql      56 Aug 20 13:58 auto.cnf
drwxr-xr-x 1 mysql mysql    4096 Aug 21 10:28 accounting
-rw-r--r-- 1 mysql mysql    1112 Aug 20 13:58 ca.pem
-rw-r----- 1 mysql mysql  172040 Aug 22 14:07 ib_buffer_pool
-rw-r----- 1 mysql mysql 10582919 Aug 22 14:07 ibdata1
-rw-r----- 1 mysql mysql  50331648 Aug 22 14:07 ib_logfile0
-rw-r----- 1 mysql mysql  50331648 Aug 20 13:47 ib_logfile1
-rw-r----- 1 mysql mysql   292292 Aug 22 14:07 ibtmp1
drwxr-x--- 1 mysql users    4096 Aug 22 14:07 mysql
-rw-r----- 1 mysql mysql    64064 Aug 22 15:18 mysql-error.log
drwxr-x--- 1 mysql mysql    4096 Aug 20 13:59 performance_schema
-rw-rw---- 1 mysql mysql    1680 Aug 20 13:59 private_key.pem
-rw-r--r-- 1 mysql mysql    1112 Aug 20 13:58 public_key.pem
-rw-r----- 1 mysql mysql    1680 Aug 20 13:58 server-cert.pem
-rw------- 1 mysql mysql    1680 Aug 20 13:58 server-key.pem
drwxr-x--- 1 mysql mysql    4096 Aug 20 13:59 sys

Which two options will improve the security of the MySQL instance?

□ A) Remove the world read/execute privilege from the accounting directory.
□ B) Remove world read privileges from the public_key.pem file.
□ C) Change the group ownership of the mysql directory to the mysql user group.
□ D) Change the parent directory owner and group to mysql.
□ E) Remove world read privileges from the server-cert.pem certificate file.
□ F) Remove group read/write privileges from the private_key.pem file.

翻译

选择两项。

查看以下命令和输出：

root@dbhost:/var/lib/mysql# ls -al
total 540
drwxrwxr-x 1 mysql mysql    4096 Aug 22 14:07 .
drwxr-xr-x 1 root  root     4096 May 22 00:42 ..
-rw-r----- 1 mysql mysql      56 Aug 20 13:58 auto.cnf
drwxr-xr-x 1 mysql mysql    4096 Aug 21 10:28 accounting
-rw-r--r-- 1 mysql mysql    1112 Aug 20 13:58 ca.pem
-rw-r----- 1 mysql mysql  172040 Aug 22 14:07 ib_buffer_pool
-rw-r----- 1 mysql mysql 10582919 Aug 22 14:07 ibdata1
-rw-r----- 1 mysql mysql  50331648 Aug 22 14:07 ib_logfile0
-rw-r----- 1 mysql mysql  50331648 Aug 20 13:47 ib_logfile1
-rw-r----- 1 mysql mysql   292292 Aug 22 14:07 ibtmp1
drwxr-x--- 1 mysql users    4096 Aug 22 14:07 mysql
-rw-r----- 1 mysql mysql    64064 Aug 22 15:18 mysql-error.log
drwxr-x--- 1 mysql mysql    4096 Aug 20 13:59 performance_schema
-rw-rw---- 1 mysql mysql    1680 Aug 20 13:59 private_key.pem
-rw-r--r-- 1 mysql mysql    1112 Aug 20 13:58 public_key.pem
-rw-r----- 1 mysql mysql    1680 Aug 20 13:58 server-cert.pem
-rw------- 1 mysql mysql    1680 Aug 20 13:58 server-key.pem
drwxr-x--- 1 mysql mysql    4096 Aug 20 13:59 sys

哪两个选项可以提高 MySQL 实例的安全性？

□ A) 从 accounting 目录移除全局读/执行权限。
□ B) 从 public_key.pem 文件移除全局读权限。
□ C) 将 mysql 目录的组所有权更改为 mysql 用户组。
□ D) 将父目录的所有者和组更改为 mysql。
□ E) 从 server-cert.pem 证书文件移除全局读权限。
□ F) 从 private_key.pem 文件移除组读/写权限。

解析和答案

• 选项A：accounting 目录权限为 drwxr-xr-x（全局有读和执行权限 ），移除全局读/执行权限可降低其他用户访问风险，提升安全性，A正确。
• 选项B：public_key.pem 文件权限是 -rw-r--r--，全局读权限是合理的（公钥通常需对外提供 ），移除会影响使用，B错误。
• 选项C：mysql 目录当前组所有权已是 mysql（drwxr-x--- 1 mysql users ... 这里用户组是 users？不，原输出中 mysql 目录行是 drwxr-x--- 1 mysql users 4096 Aug 22 14:07 mysql，组是 users，但 MySQL 相关目录组应为 mysql 更安全？不，原输出中其他 MySQL 相关文件/目录的组是 mysql，这里 mysql 目录组是 users 可能有问题，但选项C说“更改为 mysql 用户组”，当前 mysql 目录的用户是 mysql，组是 users，更改组为 mysql 是合理，但对比其他选项，A和F更关键。重新看，原 mysql 目录权限 drwxr-x---，用户 mysql，组 users，但 MySQL 运行用户是 mysql，组 mysql，所以该目录组应为 mysql，不过这不是最关键的安全问题。
• 选项D：父目录（.. ）是 /var/lib 等，更改其所有者和组为 mysql 会影响系统其他目录权限，不合理，D错误。
• 选项E：server-cert.pem 文件权限是 -rw-r-----，全局没有读权限（权限位是 rw-r-----，即用户 mysql 可读写，组 mysql 可读，其他用户无权限 ），无需再移除，E错误。
• 选项F：private_key.pem 文件权限是 -rw-rw----，组有读/写权限，私钥应严格限制权限（仅用户 mysql 可读写 ），移除组读/写权限可提升安全性，F正确。

所以答案是A、F。

知识点总结

• MySQL 目录和文件权限安全：掌握 MySQL 数据目录及其文件的合理权限设置，关键目录（如 accounting ）应限制全局权限，私钥文件（如 private_key.pem ）应严格控制访问（仅用户可读写 ）。通过调整目录和文件的权限（如移除不必要的全局、组权限 ），降低未授权访问风险，保障 MySQL 实例的安全性。
• 数据库安全运维实践：在数据库运维中，定期检查数据目录、证书和密钥文件的权限设置，遵循最小权限原则。对于包含敏感信息的文件（如私钥 ），确保只有必要的用户和组有访问权限；对于目录，限制无关用户的读、写、执行权限，从文件系统层面提升数据库的整体安全性。