MySQL数据库 安全管理


Posted in MySQL onMay 06, 2022

权限表

MySQL 服务器通过权限表来控制用户对数据库的访问,由 mysql_install_db 脚本初始化,MySQL 会根据这些权限表的内容为每个用户赋予相应的权限

1. user 表

user 表是 MySQL 最重要的一个权限表,有 49 个字段,这些字段可以分成四类:

  • 范围列:包括 Host、User,分别表示主机名、用户名,Host 指明允许访问的 IP 或主机范围,User 指明允许访问的用户名
  • 权限列:权限列字段描述用户在全局范围内允许进行的操作,该列的字段值类型为 ENUM,只能取 Y 和 N
  • 安全列:安全列有 12 个字段,其中两个和 ssl 相关、两个和 x509 相关、其他八个是授权插件和密码相关
  • 资源控制列:用于限制用户使用的资源,一个小时内用户查询或连接数量超过资源控制限制将被锁定,知道下一个小时才可以再次执行

2. db 表

db 表存储用户对某个数据库的操作权限,决定用户能从哪个主机存取哪个数据库,大致可以分为两类字段:

  • 用户列:用户列有三个字段,分别是 Host、Db 和 User,分别表示主机名、数据库名和用户名
  • 权限列:决定用户是否具有创建和修改存储过程的权限

3. tables_priv 表

tables_priv 表用来对表设置操作权限,有八个字段:

  • Host、Db、User 和 Table_name 四个字段分别表示主机名、数据库名、用户名和表名
  • Grantor 表示修改记录的用户
  • Timestamp 表示修改该记录的时间
  • Table_priv 表示对象操作权限。包括 Select、Insert、Delete 等
  • Column_priv 表示对表中的列的操作权限,包括 Select、Insert、Update 和 References

4. columns_priv 表

columns_priv 表用来对表的某一列设置权限,字段 Column_name 用来指定对哪些数据列具有操作权限

账户管理

1. 新建普通用户

在 MySQL8 以前可以使用 GRANT 语句新建用户,MySQL8 以后需要先创建用户才能执行 GRANT 语句

CREATE USER user[IDENTIFIED BY 'password'][,user[IDENTIFIED BY 'password']]...

user 参数表示新建用户的账户,由用户(User)和主机名(Host)构成,形式如 Justin@localhost,IDENTIFIED BY 关键字用来设置用户的密码,password 参数表示用户密码,可以同时创建多个用户,新用户可以没有初始密码

2. 删除普通用户

DROP USER user[,user]...

user 参数表示新建用户的账户,由用户(User)和主机名(Host)构成,可以同时删除多个用户

也可以使用 DELETE 语句直接将用户信息从 mysql.user 表删除,前提是拥有对 mysql.user 表的删除权限

DELETE FROM mysql.user WHERE Host='hostname' AND User='username';

3. Root 用户修改自己的密码

root 用户可以使用 ALTER 命令修改密码

ALTER USER USER() IDENTIFIED BY 'new_password'

也可以使用 SET 语句修改密码

SET PASSWORD='new_password'

4. Root 用户修改普通用户的密码

root 用户可以使用 ALTER 命令修改普通用户的密码

ALTER USER user [IDENTIFIED BY 'new_password'][,user [IDENTIFIED BY 'new_password']]...

也可以使用 SET 语句修改普通用户的密码

SET PASSWORD FOR 'username'@'hostname'='new_password'

普通用户也可对自己的密码进行管理,方式与 Root 用户相同

密码管理

1. 密码过期策略

数据库管理员可以手动设置账号密码过期,也可以建立一个自动密码过期策略。过期策略可以是全局的,也可以为每个账号设置单独的过期策略

手动设置账号密码过期:

ALTER USER user PASSWORD EXPIRE

密码过期策略基于最后修改密码的时间自动将密码设置为过期,MySQL 使用 default_password_lifetime 系统变量建立全局密码过期策略,默认值为 0 表示不使用自动过期策略。它允许的值是正整数 N,表示密码必须每隔 N 天进行修改。该值可在服务器的配置文件设置,也可以使用 SQL 语句设置,使用 SQL 语句方式如下:

SET PERSIST default_password_lifetime=180

每个账号既可沿用全局密码过期策略,也可单独设置策略

# 设置账号密码90天过期
CREATE USER 'Justin@localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
ALTER USER 'Justin@localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
# 设置账号密码永不过期
CREATE USER 'Justin@localhost' PASSWORD EXPIRE NEVER;
ALTER USER 'Justin@localhost' PASSWORD EXPIRE NEVER;
# 沿用全局密码过期策略
CREATE USER 'Justin@localhost' PASSWORD EXPIRE DEFAULT;

2. 密码重用策略

MySQL 限制使用已用过的密码,重用限制策略基于密码更改时间和使用时间,可以是全局的,也可以为每个账号设置单独的策略

MySQL 基于以下规则来限制密码重用:

  1. 如果账户密码限制基于密码更改的数量,那么新密码不能从最近限制的密码数量中选择,例如,如果密码更改的最小值为3,那么新密码不能与最近3个密码中任何一个相同
  2. 如果账户密码限制基于时间,那么新密码不能从规定时间内选择,例如,如果重用周期为60天,那么新密码不能从最近60天内使用的密码中选择

可以在配置文件设置密码重用策略,也可以使用 SQL 语句

# 密码重用数量
SET PERSIST password_history=6;
# 密码重用周期
SET PERSIST password_reuse_interval=365;

每个账号既可沿用全局密码重用策略,也可单独设置策略

# 不能使用最近5个密码
CREATE USER 'Justin@localhost' PASSWORD PASSWORD HISTORY 5;
ALTER USER 'Justin@localhost' PASSWORD PASSWORD HISTORY 5;
# 不能使用最近365天内的密码
CREATE USER 'Justin@localhost' PASSWORD REUSE INTERVAL 365 DAY;
ALTER USER 'Justin@localhost' PASSWORD REUSE INTERVAL 365 DAY;

角色

在 MySQL 中,角色是权限的集合,可以为角色添加或移除权限。用户可以被赋予角色,同时也被赋予角色包含的权限

1. 创建角色并授权

创建角色语句如下:

CREATE ROLE 'role_name'[@'host_name'][,'role_name'[@'host_name']]...

为角色授权语句如下:

GRANT privileges ON table_name TO 'role_name'[@'host_name'];

privileges 代表权限的名称,多个权限以逗号1隔开,可以使用 SHOW 语句查询权限名称

SHOW PRIVILEGES\G;

2. 给用户添加角色

GTANT role[,role2,...] TO user[,user2,...];

role 代表角色,user 代表用户,添加之后如果角色处于未激活状态,需要先将用户对应的角色激活

SET ROLE DEFAULT

3. 编辑角色或权限

撤销用户角色的 SQL 语句如下:

REVOKE role FROM user;

撤销角色权限的 SQL 语句如下:

REVOKE privileges ON tablename FROM 'rolename';

4. 删除角色

DROP ROLE role[,role2]...

总结

到此这篇关于MySQL数据库安全管理的文章就介绍到这了!

MySQL 相关文章推荐
MySQL 分页查询的优化技巧
May 12 MySQL
SQL注入的实现以及防范示例详解
Jun 02 MySQL
探究Mysql模糊查询是否区分大小写
Jun 11 MySQL
解决mysql的int型主键自增问题
Jul 15 MySQL
MySQL面试题讲解之如何设置Hash索引
Nov 01 MySQL
MySQL的索引你了解吗
Mar 13 MySQL
如何创建一个创建MySQL数据库中的datetime类型
Mar 21 MySQL
mysql 获取相邻数据项
May 11 MySQL
MySQL示例讲解数据库约束以及表的设计
Jun 16 MySQL
MySQL中正则表达式(REGEXP)使用详解
Jul 07 MySQL
MySQL的意向共享锁、意向排它锁和死锁
Jul 15 MySQL
MySQL事务的隔离级别详情
Jul 15 MySQL
Mysql 文件配置解析介绍
May 06 #MySQL
MySQL数据库中的锁、解锁以及删除事务
May 06 #MySQL
mysql性能优化以及配置连接参数设置
May 06 #MySQL
Mysql InnoDB 的内存逻辑架构
详细介绍MySQL中limit和offset的用法
May 06 #MySQL
MySQL数据库Innodb 引擎实现mvcc锁
May 06 #MySQL
讲解MySQL增删改操作
May 06 #MySQL
You might like
强烈推荐:php.ini中文版(1)
2006/10/09 PHP
php array_map array_multisort 高效处理多维数组排序
2009/06/11 PHP
关于PHP二进制流 逐bit的低位在前算法(详解)
2013/06/13 PHP
php对图像的各种处理函数代码小结
2013/07/08 PHP
如何在php中正确的使用json
2013/08/06 PHP
PHP加密扩展库Mcrypt安装和实例
2013/11/10 PHP
ThinkPHP模板判断输出Present标签用法详解
2014/06/30 PHP
php curl登陆qq后获取用户信息时证书错误
2015/02/03 PHP
PHP实现的简单AES加密解密算法实例
2017/05/29 PHP
PHP设计模式之装饰器模式实例详解
2018/02/07 PHP
JavaScript 小型打飞机游戏实现原理说明
2010/10/28 Javascript
js中top、clientTop、scrollTop、offsetTop的区别 文字详细说明版
2011/01/08 Javascript
整理一些JavaScript的IE和火狐的兼容性注意事项
2011/03/17 Javascript
jQuery之选项卡的简单实现
2014/02/28 Javascript
基于javascript的JSON格式页面展示美化方法
2014/07/02 Javascript
JS实现的另类手风琴效果网页内容切换代码
2015/09/08 Javascript
使用JavaScript脚本判断页面是否在微信中被打开
2016/03/06 Javascript
微信小程序开发实战教程之手势解锁
2016/11/18 Javascript
jquery插件canvaspercent.js实现百分比圆饼效果
2017/07/18 jQuery
zTree获取当前节点的下一级子节点数实例
2017/09/05 Javascript
Javascript的this详解
2019/03/23 Javascript
常见的浏览器存储方式(cookie、localStorage、sessionStorage)
2019/05/07 Javascript
JavaScript:ES2019 的新特性(译)
2019/08/08 Javascript
jquery实现鼠标悬浮弹出气泡提示框
2020/12/23 jQuery
[14:00]DOTA2国际邀请赛史上最长大战 赛后专访B神
2013/08/10 DOTA
Python+request+unittest实现接口测试框架集成实例
2018/03/16 Python
django实现更改数据库某个字段以及字段段内数据
2020/03/31 Python
Django模板之基本的 for 循环 和 List内容的显示方式
2020/03/31 Python
HTML5中视频音频的使用详解
2017/07/07 HTML / CSS
英语国培研修感言
2014/02/13 职场文书
志愿者服务感言
2014/02/27 职场文书
Nginx URL重写rewrite机制原理及使用实例
2021/04/01 Servers
vue如何批量引入组件、注册和使用详解
2021/05/12 Vue.js
linux下导入、导出mysql数据库命令的实现方法
2021/05/26 MySQL
一文了解MYSQL三大范式和表约束
2022/04/03 MySQL
详解Vue3使用axios的配置教程
2022/04/29 Vue.js