权限表
mysql 服务器通过权限表来控制用户对数据库的访问,由 mysql_install_db 脚本初始化,mysql 会根据这些权限表的内容为每个用户赋予相应的权限
1. user 表
user 表是 mysql 最重要的一个权限表,有 49 个字段,这些字段可以分成四类:
- 范围列:包括 host、user,分别表示主机名、用户名,host 指明允许访问的 ip 或主机范围,user 指明允许访问的用户名
- 权限列:权限列字段描述用户在全局范围内允许进行的操作,该列的字段值类型为 enum,只能取 y 和 n
- 安全列:安全列有 12 个字段,其中两个和 ssl 相关、两个和 x509 相关、其他八个是授权插件和密码相关
- 资源控制列:用于限制用户使用的资源,一个小时内用户查询或连接数量超过资源控制限制将被锁定,知道下一个小时才可以再次执行
2. db 表
db 表存储用户对某个数据库的操作权限,决定用户能从哪个主机存取哪个数据库,大致可以分为两类字段:
- 用户列:用户列有三个字段,分别是 host、db 和 user,分别表示主机名、数据库名和用户名
- 权限列:决定用户是否具有创建和修改存储过程的权限
3. tables_priv 表
tables_priv 表用来对表设置操作权限,有八个字段:
- host、db、user 和 table_name 四个字段分别表示主机名、数据库名、用户名和表名
- grantor 表示修改记录的用户
- timestamp 表示修改该记录的时间
- table_priv 表示对象操作权限。包括 select、insert、delete 等
- column_priv 表示对表中的列的操作权限,包括 select、insert、update 和 references
4. columns_priv 表
columns_priv 表用来对表的某一列设置权限,字段 column_name 用来指定对哪些数据列具有操作权限
账户管理
1. 新建普通用户
在 mysql8 以前可以使用 grant 语句新建用户,mysql8 以后需要先创建用户才能执行 grant 语句
create user user[identified by 'password'][,user[identified by 'password']]...
user 参数表示新建用户的账户,由用户(user)和主机名(host)构成,形式如 justin@localhost,identified by 关键字用来设置用户的密码,password 参数表示用户密码,可以同时创建多个用户,新用户可以没有初始密码
2. 删除普通用户
drop user user[,user]...
user 参数表示新建用户的账户,由用户(user)和主机名(host)构成,可以同时删除多个用户
也可以使用 delete 语句直接将用户信息从 mysql.user 表删除,前提是拥有对 mysql.user 表的删除权限
delete from mysql.user where host='hostname' and user='username';
3. root 用户修改自己的密码
root 用户可以使用 alter 命令修改密码
alter user user() identified by 'new_password'
也可以使用 set 语句修改密码
set password='new_password'
4. root 用户修改普通用户的密码
root 用户可以使用 alter 命令修改普通用户的密码
alter user user [identified by 'new_password'][,user [identified by 'new_password']]...
也可以使用 set 语句修改普通用户的密码
set password for 'username'@'hostname'='new_password'
普通用户也可对自己的密码进行管理,方式与 root 用户相同
密码管理
1. 密码过期策略
数据库管理员可以手动设置账号密码过期,也可以建立一个自动密码过期策略。过期策略可以是全局的,也可以为每个账号设置单独的过期策略
手动设置账号密码过期:
alter user user password expire
密码过期策略基于最后修改密码的时间自动将密码设置为过期,mysql 使用 default_password_lifetime 系统变量建立全局密码过期策略,默认值为 0 表示不使用自动过期策略。它允许的值是正整数 n,表示密码必须每隔 n 天进行修改。该值可在服务器的配置文件设置,也可以使用 sql 语句设置,使用 sql 语句方式如下:
set persist default_password_lifetime=180
每个账号既可沿用全局密码过期策略,也可单独设置策略
# 设置账号密码90天过期 create user 'justin@localhost' password expire interval 90 day; alter user 'justin@localhost' password expire interval 90 day; # 设置账号密码永不过期 create user 'justin@localhost' password expire never; alter user 'justin@localhost' password expire never; # 沿用全局密码过期策略 create user 'justin@localhost' password expire default;
2. 密码重用策略
mysql 限制使用已用过的密码,重用限制策略基于密码更改时间和使用时间,可以是全局的,也可以为每个账号设置单独的策略
mysql 基于以下规则来限制密码重用:
- 如果账户密码限制基于密码更改的数量,那么新密码不能从最近限制的密码数量中选择,例如,如果密码更改的最小值为3,那么新密码不能与最近3个密码中任何一个相同
- 如果账户密码限制基于时间,那么新密码不能从规定时间内选择,例如,如果重用周期为60天,那么新密码不能从最近60天内使用的密码中选择
可以在配置文件设置密码重用策略,也可以使用 sql 语句
# 密码重用数量 set persist password_history=6; # 密码重用周期 set persist password_reuse_interval=365;
每个账号既可沿用全局密码重用策略,也可单独设置策略
# 不能使用最近5个密码 create user 'justin@localhost' password password history 5; alter user 'justin@localhost' password password history 5; # 不能使用最近365天内的密码 create user 'justin@localhost' password reuse interval 365 day; alter user 'justin@localhost' password reuse interval 365 day;
角色
在 mysql 中,角色是权限的集合,可以为角色添加或移除权限。用户可以被赋予角色,同时也被赋予角色包含的权限
1. 创建角色并授权
创建角色语句如下:
create role 'role_name'[@'host_name'][,'role_name'[@'host_name']]...
为角色授权语句如下:
grant privileges on table_name to 'role_name'[@'host_name'];
privileges 代表权限的名称,多个权限以逗号1隔开,可以使用 show 语句查询权限名称
show privileges\g;
2. 给用户添加角色
gtant role[,role2,...] to user[,user2,...];
role 代表角色,user 代表用户,添加之后如果角色处于未激活状态,需要先将用户对应的角色激活
set role default
3. 编辑角色或权限
撤销用户角色的 sql 语句如下:
revoke role from user;
撤销角色权限的 sql 语句如下:
revoke privileges on tablename from 'rolename';
4. 删除角色
drop role role[,role2]...
总结
到此这篇关于mysql数据库必知必会之安全管理的文章就介绍到这了,更多相关mysql安全管理内容请搜索以前的文章或继续浏览下面的相关文章希望大家以后多多支持!
