分享一个mysql密码策略按需限制方案

概述今天主要分享一个关于mysql密码策略限制的方案账户设置过期。

一、需求具体需求如下：

root及应用系统账号设置永不过期账户设置过期，运维人员账号设置过期时间为180天

二、相关原理从MySQL 5.7.4版开始，用户的密码过期时间这个特性做了改进，可以通过一个全局变量default_password_lifetime来设置密码过期的策略，此全局变量可以设置一个全局的自动密码过期策略账户设置过期。 常用如下：

1、全局策略：90天过期

可以在MySQL的配置文件中设置一个默认值，这会使得所有MySQL用户的密码过期时间都为90天，MySQL会从启动时开始计算时间账户设置过期。my.cnf配置如下：

 [mysqld]default_password_lifetime=902、全局策略：永不过期

如果要设置密码永不过期的全局策略账户设置过期，可以设置

 [mysqld]default_password_lifetime=03、用户特定策略：30天过期（覆盖全局）

还可以使用ALTER USER命令为每个具体的用户账户单独设置特定的值，它会自动覆盖密码过期的全局策略账户设置过期。要注意ALTER USER语句的INTERVAL的单位是“天”。

 ALTER USER &＃39;testuser&＃39;@&＃39;localhost&＃39; PASSWORD EXPIRE INTERVAL 30 DAY;4、用户特定策略：禁用密码过期

 ALTER USER &＃39;testuser&＃39;@&＃39;localhost&＃39; PASSWORD EXPIRE NEVER;5、用户特定策略：使用默认的密码过期全局策略

 ALTER USER &＃39;testuser&＃39;@&＃39;localhost&＃39; PASSWORD EXPIRE DEFAULT;

三、实现方案1、禁用全局策略

在my.cnf设置：

 [mysqld]default_password_lifetime=02、设置root用户及应用权限账户永不过期

SELECT USER, HOST, account_locked, password_expired, password_lifetime, concat( &＃39;alter user &＃39;, USER, &＃39;@&＃39;&＃39;&＃39;,host, &＃39;&＃39;&＃39; PASSWORD EXPIRE NEVER;&＃39; ) &＃39;root_policy&＃39; FROM mysql.USER WHERE account_locked = &＃39;N&＃39;;

3、设置运维账号180天后过期

SELECT USER, HOST, account_locked, password_expired, password_lifetime, concat( &＃39;alter user &＃39;, USER, &＃39;@&＃39;&＃39;&＃39;, HOST, &＃39;&＃39;&＃39; PASSWORD EXPIRE INTERVAL 180 DAY;&＃39; ) &＃39;ops_policy&＃39; FROM mysql.USER WHERE account_locked = &＃39;N&＃39; and user not in(&＃39;root&＃39;,&＃39;dbmt&＃39;);

4、测试重启后是否生效

重启数据库后检查，符合需求账户设置过期。

SELECT USER, HOST, account_locked, password_expired, password_lifetimeFROM mysql.USER WHERE account_locked = &＃39;N&＃39;;

后面会分享更多devops和DBA方面内容账户设置过期，感兴趣的朋友可以关注下！