热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

MySQL安全管理

权限表MySQL服务器通过权限表来控制用户对数据库的访问,由mysql_install_db脚本初始化,MySQL会根据这些权限表的内容为每个用户赋予相应的权限1.user表use



权限表

MySQL 服务器通过权限表来控制用户对数据库的访问,由 mysql_install_db 脚本初始化,MySQL 会根据这些权限表的内容为每个用户赋予相应的权限


1. user 表

user 表是 MySQL 最重要的一个权限表,有 49 个字段,这些字段可以分成四类:



  • 范围列:包括 Host、User,分别表示主机名、用户名,Host 指明允许访问的 IP 或主机范围,User 指明允许访问的用户名

  • 权限列:权限列字段描述用户在全局范围内允许进行的操作,该列的字段值类型为 ENUM,只能取 Y 和 N

  • 安全列:安全列有 12 个字段,其中两个和 ssl 相关、两个和 x509 相关、其他八个是授权插件和密码相关

  • 资源控制列:用于限制用户使用的资源,一个小时内用户查询或连接数量超过资源控制限制将被锁定,知道下一个小时才可以再次执行


2. db 表

db 表存储用户对某个数据库的操作权限,决定用户能从哪个主机存取哪个数据库,大致可以分为两类字段:



  • 用户列:用户列有三个字段,分别是 Host、Db 和 User,分别表示主机名、数据库名和用户名

  • 权限列:决定用户是否具有创建和修改存储过程的权限


3. tables_priv 表

tables_priv 表用来对表设置操作权限,有八个字段:



  • Host、Db、User 和 Table_name 四个字段分别表示主机名、数据库名、用户名和表名

  • Grantor 表示修改记录的用户

  • Timestamp 表示修改该记录的时间

  • Table_priv 表示对象操作权限。包括 Select、Insert、Delete 等

  • Column_priv 表示对表中的列的操作权限,包括 Select、Insert、Update 和 References


4. columns_priv 表

columns_priv 表用来对表的某一列设置权限,字段 Column_name 用来指定对哪些数据列具有操作权限




账户管理


1. 新建普通用户

在 MySQL8 以前可以使用 GRANT 语句新建用户,MySQL8 以后需要先创建用户才能执行 GRANT 语句

CREATE USER user[IDENTIFIED BY 'password'][,user[IDENTIFIED BY 'password']]...

user 参数表示新建用户的账户,由用户(User)和主机名(Host)构成,形式如 Justin@localhost,IDENTIFIED BY 关键字用来设置用户的密码,password 参数表示用户密码,可以同时创建多个用户,新用户可以没有初始密码


2. 删除普通用户

DROP USER user[,user]...

user 参数表示新建用户的账户,由用户(User)和主机名(Host)构成,可以同时删除多个用户

也可以使用 DELETE 语句直接将用户信息从 mysql.user 表删除,前提是拥有对 mysql.user 表的删除权限

DELETE FROM mysql.user WHERE Host='hostname' AND User='username';

3. Root 用户修改自己的密码

root 用户可以使用 ALTER 命令修改密码

ALTER USER USER() IDENTIFIED BY 'new_password'

也可以使用 SET 语句修改密码

SET PASSWORD='new_password'

4. Root 用户修改普通用户的密码

root 用户可以使用 ALTER 命令修改普通用户的密码

ALTER USER user [IDENTIFIED BY 'new_password'][,user [IDENTIFIED BY 'new_password']]...

也可以使用 SET 语句修改普通用户的密码

SET PASSWORD FOR 'username'@'hostname'='new_password'

普通用户也可对自己的密码进行管理,方式与 Root 用户相同




密码管理


1. 密码过期策略

数据库管理员可以手动设置账号密码过期,也可以建立一个自动密码过期策略。过期策略可以是全局的,也可以为每个账号设置单独的过期策略

手动设置账号密码过期:

ALTER USER user PASSWORD EXPIRE

密码过期策略基于最后修改密码的时间自动将密码设置为过期,MySQL 使用 default_password_lifetime 系统变量建立全局密码过期策略,默认值为 0 表示不使用自动过期策略。它允许的值是正整数 N,表示密码必须每隔 N 天进行修改。该值可在服务器的配置文件设置,也可以使用 SQL 语句设置,使用 SQL 语句方式如下:

SET PERSIST default_password_lifetime=180

每个账号既可沿用全局密码过期策略,也可单独设置策略

# 设置账号密码90天过期
CREATE USER 'Justin@localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
ALTER USER 'Justin@localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
# 设置账号密码永不过期
CREATE USER 'Justin@localhost' PASSWORD EXPIRE NEVER;
ALTER USER 'Justin@localhost' PASSWORD EXPIRE NEVER;
# 沿用全局密码过期策略
CREATE USER 'Justin@localhost' PASSWORD EXPIRE DEFAULT;

2. 密码重用策略

MySQL 限制使用已用过的密码,重用限制策略基于密码更改时间和使用时间,可以是全局的,也可以为每个账号设置单独的策略

MySQL 基于以下规则来限制密码重用:



  1. 如果账户密码限制基于密码更改的数量,那么新密码不能从最近限制的密码数量中选择,例如,如果密码更改的最小值为3,那么新密码不能与最近3个密码中任何一个相同

  2. 如果账户密码限制基于时间,那么新密码不能从规定时间内选择,例如,如果重用周期为60天,那么新密码不能从最近60天内使用的密码中选择

可以在配置文件设置密码重用策略,也可以使用 SQL 语句

# 密码重用数量
SET PERSIST password_history=6;
# 密码重用周期
SET PERSIST password_reuse_interval=365;

每个账号既可沿用全局密码重用策略,也可单独设置策略

# 不能使用最近5个密码
CREATE USER 'Justin@localhost' PASSWORD PASSWORD HISTORY 5;
ALTER USER 'Justin@localhost' PASSWORD PASSWORD HISTORY 5;
# 不能使用最近365天内的密码
CREATE USER 'Justin@localhost' PASSWORD REUSE INTERVAL 365 DAY;
ALTER USER 'Justin@localhost' PASSWORD REUSE INTERVAL 365 DAY;



角色

在 MySQL 中,角色是权限的集合,可以为角色添加或移除权限。用户可以被赋予角色,同时也被赋予角色包含的权限


1. 创建角色并授权

创建角色语句如下:

CREATE ROLE 'role_name'[@'host_name'][,'role_name'[@'host_name']]...

为角色授权语句如下:

GRANT privileges ON table_name TO 'role_name'[@'host_name'];

privileges 代表权限的名称,多个权限以逗号1隔开,可以使用 SHOW 语句查询权限名称

SHOW PRIVILEGES\G;

2. 给用户添加角色

GTANT role[,role2,...] TO user[,user2,...];

role 代表角色,user 代表用户,添加之后如果角色处于未激活状态,需要先将用户对应的角色激活

SET ROLE DEFAULT

3. 编辑角色或权限

撤销用户角色的 SQL 语句如下:

REVOKE role FROM user;

撤销角色权限的 SQL 语句如下:

REVOKE privileges ON tablename FROM 'rolename';

4. 删除角色

DROP ROLE role[,role2]...


推荐阅读
  • 深入理解 SQL 视图、存储过程与事务
    本文详细介绍了SQL中的视图、存储过程和事务的概念及应用。视图为用户提供了一种灵活的数据查询方式,存储过程则封装了复杂的SQL逻辑,而事务确保了数据库操作的完整性和一致性。 ... [详细]
  • 本文深入探讨 MyBatis 中动态 SQL 的使用方法,包括 if/where、trim 自定义字符串截取规则、choose 分支选择、封装查询和修改条件的 where/set 标签、批量处理的 foreach 标签以及内置参数和 bind 的用法。 ... [详细]
  • 目录一、salt-job管理#job存放数据目录#缓存时间设置#Others二、returns模块配置job数据入库#配置returns返回值信息#mysql安全设置#创建模块相关 ... [详细]
  • 本文详细介绍了优化DB2数据库性能的多种方法,涵盖统计信息更新、缓冲池调整、日志缓冲区配置、应用程序堆大小设置、排序堆参数调整、代理程序管理、锁机制优化、活动应用程序限制、页清除程序配置、I/O服务器数量设定以及编入组提交数调整等方面。通过这些技术手段,可以显著提升数据库的运行效率和响应速度。 ... [详细]
  • 1:有如下一段程序:packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]
  • 本文详细介绍了如何通过多种编程语言(如PHP、JSP)实现网站与MySQL数据库的连接,包括创建数据库、表的基本操作,以及数据的读取和写入方法。 ... [详细]
  • 一、Merge语句根据条件在表中执行修改或插入数据的功能,如果插入的数据行在目的表中存在就执行UPDATE,如果是不存在则执行INSERT:-避免了单独 ... [详细]
  • 本文探讨了在使用阿里云RDS实例时遇到的一个时区问题。该问题导致系统时间与预期时间相差13小时。通过深入分析,发现问题是由于名为CST的时区存在多种解释,特别是在MySQL和Java之间进行时区协商时出现的误解。 ... [详细]
  • Windows服务与数据库交互问题解析
    本文探讨了在Windows 10(64位)环境下开发的Windows服务,旨在定期向本地MS SQL Server (v.11)插入记录。尽管服务已成功安装并运行,但记录并未正确插入。我们将详细分析可能的原因及解决方案。 ... [详细]
  • 数据库内核开发入门 | 搭建研发环境的初步指南
    本课程将带你从零开始,逐步掌握数据库内核开发的基础知识和实践技能,重点介绍如何搭建OceanBase的开发环境。 ... [详细]
  • 本文介绍如何通过创建替代插入触发器,使对视图的插入操作能够正确更新相关的基本表。涉及的表包括:飞机(Aircraft)、员工(Employee)和认证(Certification)。 ... [详细]
  • MySQL缓存机制深度解析
    本文详细探讨了MySQL的缓存机制,包括主从复制、读写分离以及缓存同步策略等内容。通过理解这些概念和技术,读者可以更好地优化数据库性能。 ... [详细]
  • Netflix利用Druid实现高效实时数据分析
    本文探讨了全球领先的在线娱乐公司Netflix如何通过采用Apache Druid,实现了高效的数据采集、处理和实时分析,从而显著提升了用户体验和业务决策的准确性。文章详细介绍了Netflix在系统架构、数据摄取、管理和查询方面的实践,并展示了Druid在大规模数据处理中的卓越性能。 ... [详细]
  • 本文详细介绍了如何在 Windows 7 操作系统上安装和配置 InfluxDB,这是一种专为处理时间序列数据设计的高性能数据库。 ... [详细]
  • 本文详细介绍了Oracle数据库中审计日志(audit trail)的配置方法及各参数选项的功能,包括如何启用系统范围的审计记录,以及如何将审计数据存储在不同的位置和格式。 ... [详细]
author-avatar
想要把迩贴上私人标签92
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有