MySQL数据库 安全管理


Posted in MySQL onMay 06, 2022

权限表

MySQL 服务器通过权限表来控制用户对数据库的访问,由 mysql_install_db 脚本初始化,MySQL 会根据这些权限表的内容为每个用户赋予相应的权限

1. user 表

user 表是 MySQL 最重要的一个权限表,有 49 个字段,这些字段可以分成四类:

  • 范围列:包括 Host、User,分别表示主机名、用户名,Host 指明允许访问的 IP 或主机范围,User 指明允许访问的用户名
  • 权限列:权限列字段描述用户在全局范围内允许进行的操作,该列的字段值类型为 ENUM,只能取 Y 和 N
  • 安全列:安全列有 12 个字段,其中两个和 ssl 相关、两个和 x509 相关、其他八个是授权插件和密码相关
  • 资源控制列:用于限制用户使用的资源,一个小时内用户查询或连接数量超过资源控制限制将被锁定,知道下一个小时才可以再次执行

2. db 表

db 表存储用户对某个数据库的操作权限,决定用户能从哪个主机存取哪个数据库,大致可以分为两类字段:

  • 用户列:用户列有三个字段,分别是 Host、Db 和 User,分别表示主机名、数据库名和用户名
  • 权限列:决定用户是否具有创建和修改存储过程的权限

3. tables_priv 表

tables_priv 表用来对表设置操作权限,有八个字段:

  • Host、Db、User 和 Table_name 四个字段分别表示主机名、数据库名、用户名和表名
  • Grantor 表示修改记录的用户
  • Timestamp 表示修改该记录的时间
  • Table_priv 表示对象操作权限。包括 Select、Insert、Delete 等
  • Column_priv 表示对表中的列的操作权限,包括 Select、Insert、Update 和 References

4. columns_priv 表

columns_priv 表用来对表的某一列设置权限,字段 Column_name 用来指定对哪些数据列具有操作权限

账户管理

1. 新建普通用户

在 MySQL8 以前可以使用 GRANT 语句新建用户,MySQL8 以后需要先创建用户才能执行 GRANT 语句

CREATE USER user[IDENTIFIED BY 'password'][,user[IDENTIFIED BY 'password']]...

user 参数表示新建用户的账户,由用户(User)和主机名(Host)构成,形式如 Justin@localhost,IDENTIFIED BY 关键字用来设置用户的密码,password 参数表示用户密码,可以同时创建多个用户,新用户可以没有初始密码

2. 删除普通用户

DROP USER user[,user]...

user 参数表示新建用户的账户,由用户(User)和主机名(Host)构成,可以同时删除多个用户

也可以使用 DELETE 语句直接将用户信息从 mysql.user 表删除,前提是拥有对 mysql.user 表的删除权限

DELETE FROM mysql.user WHERE Host='hostname' AND User='username';

3. Root 用户修改自己的密码

root 用户可以使用 ALTER 命令修改密码

ALTER USER USER() IDENTIFIED BY 'new_password'

也可以使用 SET 语句修改密码

SET PASSWORD='new_password'

4. Root 用户修改普通用户的密码

root 用户可以使用 ALTER 命令修改普通用户的密码

ALTER USER user [IDENTIFIED BY 'new_password'][,user [IDENTIFIED BY 'new_password']]...

也可以使用 SET 语句修改普通用户的密码

SET PASSWORD FOR 'username'@'hostname'='new_password'

普通用户也可对自己的密码进行管理,方式与 Root 用户相同

密码管理

1. 密码过期策略

数据库管理员可以手动设置账号密码过期,也可以建立一个自动密码过期策略。过期策略可以是全局的,也可以为每个账号设置单独的过期策略

手动设置账号密码过期:

ALTER USER user PASSWORD EXPIRE

密码过期策略基于最后修改密码的时间自动将密码设置为过期,MySQL 使用 default_password_lifetime 系统变量建立全局密码过期策略,默认值为 0 表示不使用自动过期策略。它允许的值是正整数 N,表示密码必须每隔 N 天进行修改。该值可在服务器的配置文件设置,也可以使用 SQL 语句设置,使用 SQL 语句方式如下:

SET PERSIST default_password_lifetime=180

每个账号既可沿用全局密码过期策略,也可单独设置策略

# 设置账号密码90天过期
CREATE USER 'Justin@localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
ALTER USER 'Justin@localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
# 设置账号密码永不过期
CREATE USER 'Justin@localhost' PASSWORD EXPIRE NEVER;
ALTER USER 'Justin@localhost' PASSWORD EXPIRE NEVER;
# 沿用全局密码过期策略
CREATE USER 'Justin@localhost' PASSWORD EXPIRE DEFAULT;

2. 密码重用策略

MySQL 限制使用已用过的密码,重用限制策略基于密码更改时间和使用时间,可以是全局的,也可以为每个账号设置单独的策略

MySQL 基于以下规则来限制密码重用:

  1. 如果账户密码限制基于密码更改的数量,那么新密码不能从最近限制的密码数量中选择,例如,如果密码更改的最小值为3,那么新密码不能与最近3个密码中任何一个相同
  2. 如果账户密码限制基于时间,那么新密码不能从规定时间内选择,例如,如果重用周期为60天,那么新密码不能从最近60天内使用的密码中选择

可以在配置文件设置密码重用策略,也可以使用 SQL 语句

# 密码重用数量
SET PERSIST password_history=6;
# 密码重用周期
SET PERSIST password_reuse_interval=365;

每个账号既可沿用全局密码重用策略,也可单独设置策略

# 不能使用最近5个密码
CREATE USER 'Justin@localhost' PASSWORD PASSWORD HISTORY 5;
ALTER USER 'Justin@localhost' PASSWORD PASSWORD HISTORY 5;
# 不能使用最近365天内的密码
CREATE USER 'Justin@localhost' PASSWORD REUSE INTERVAL 365 DAY;
ALTER USER 'Justin@localhost' PASSWORD REUSE INTERVAL 365 DAY;

角色

在 MySQL 中,角色是权限的集合,可以为角色添加或移除权限。用户可以被赋予角色,同时也被赋予角色包含的权限

1. 创建角色并授权

创建角色语句如下:

CREATE ROLE 'role_name'[@'host_name'][,'role_name'[@'host_name']]...

为角色授权语句如下:

GRANT privileges ON table_name TO 'role_name'[@'host_name'];

privileges 代表权限的名称,多个权限以逗号1隔开,可以使用 SHOW 语句查询权限名称

SHOW PRIVILEGES\G;

2. 给用户添加角色

GTANT role[,role2,...] TO user[,user2,...];

role 代表角色,user 代表用户,添加之后如果角色处于未激活状态,需要先将用户对应的角色激活

SET ROLE DEFAULT

3. 编辑角色或权限

撤销用户角色的 SQL 语句如下:

REVOKE role FROM user;

撤销角色权限的 SQL 语句如下:

REVOKE privileges ON tablename FROM 'rolename';

4. 删除角色

DROP ROLE role[,role2]...

总结

到此这篇关于MySQL数据库安全管理的文章就介绍到这了!

MySQL 相关文章推荐
Mysql服务添加 iptables防火墙策略的方案
Apr 29 MySQL
mysql对于模糊查询like的一些汇总
May 09 MySQL
MySQL 可扩展设计的基本原则
May 14 MySQL
详解mysql三值逻辑与NULL
May 19 MySQL
Mysql 用户权限管理实现
May 25 MySQL
为什么MySQL选择Repeatable Read作为默认隔离级别
Jul 26 MySQL
MySQL中order by的使用详情
Nov 17 MySQL
MySQL表锁、行锁、排它锁及共享锁的使用详解
Apr 02 MySQL
MySQL创建管理HASH分区
Apr 13 MySQL
mysql 8.0.27 绿色解压版安装教程及配置方法
Apr 20 MySQL
MySQL表字段数量限制及行大小限制详情
Jul 23 MySQL
MySQL count(*)统计总数问题汇总
Sep 23 MySQL
Mysql 文件配置解析介绍
May 06 #MySQL
MySQL数据库中的锁、解锁以及删除事务
May 06 #MySQL
mysql性能优化以及配置连接参数设置
May 06 #MySQL
Mysql InnoDB 的内存逻辑架构
详细介绍MySQL中limit和offset的用法
May 06 #MySQL
MySQL数据库Innodb 引擎实现mvcc锁
May 06 #MySQL
讲解MySQL增删改操作
May 06 #MySQL
You might like
重置版游戏视频
2020/04/09 魔兽争霸
实现 win2003 下 mysql 数据库每天自动备份
2006/12/06 PHP
php模板中出现空行解决方法
2011/03/08 PHP
jquery 表单下所有元素的隐藏
2009/07/25 Javascript
extjs 学习笔记 四 带分页的grid
2009/10/20 Javascript
jquery中常用的函数和属性详细解析
2014/03/07 Javascript
Javascript生成全局唯一标识符(GUID,UUID)的方法
2016/02/27 Javascript
jquery动态切换背景图片的简单实现方法
2016/05/14 Javascript
nodejs取得当前执行路径的方法
2018/05/13 NodeJs
JS实现获取word文档内容并输出显示到html页面示例
2018/06/23 Javascript
vue js秒转天数小时分钟秒的实例代码
2018/08/08 Javascript
Vue.set() this.$set()引发的视图更新思考及注意事项
2018/08/30 Javascript
从vue源码看props的用法
2019/01/09 Javascript
基于vue-cli 路由 实现类似tab切换效果(vue 2.0)
2019/05/08 Javascript
React组件设计模式之组合组件应用实例分析
2020/04/29 Javascript
使用pyecharts在jupyter notebook上绘图
2020/04/23 Python
快速解决安装python没有scripts文件夹的问题
2018/04/03 Python
对python3 urllib包与http包的使用详解
2018/05/10 Python
Python操作MySQL数据库的方法
2018/06/20 Python
Python subprocess模块功能与常见用法实例详解
2018/06/28 Python
Python3.4 splinter(模拟填写表单)使用方法
2018/10/13 Python
Python中新式类与经典类的区别详析
2019/07/10 Python
对Python中一维向量和一维向量转置相乘的方法详解
2019/08/26 Python
关于python导入模块import与常见的模块详解
2019/08/28 Python
Python使用turtle库绘制小猪佩奇(实例代码)
2020/01/16 Python
PageFactory设计模式基于python实现
2020/04/14 Python
捷克电器和DJ设备网上商店:Electronic-star
2017/07/18 全球购物
Belvilla法国:休闲度假房屋出租
2020/10/03 全球购物
公司联欢会策划方案
2014/05/19 职场文书
党的群众路线教育实践活动个人承诺书
2014/05/22 职场文书
2015年公务员转正工作总结
2015/04/24 职场文书
基督教追悼会答谢词
2015/09/29 职场文书
青年人初次创业的“五不要”
2019/08/23 职场文书
Golang ort 中的sortInts 方法
2022/04/24 Golang
MySql数据库触发器使用教程
2022/06/01 MySQL
JS实现页面炫酷的时钟特效示例
2022/08/14 Javascript