zoukankan      html  css  js  c++  java

  • mysql_权限安全

    权限与安全

    .MySQL的权限系统通过下面两个阶段进行认证:

    1.连接到数据库的用户进行身份认证,以此来判断此用户是否属于合法的用户,合法的用户通过认证,不合法的用户拒绝连接

    2.通过认证的合法的用户则赋予相应的权限,用户可以在这些权限范围内对数据库做相应的操作

    .身份认证

    MySQL是通过IP地址和用户名联合进行确认

    .权限表的存取:

    在权限存取的两个过程中,系统会用到”mysql”数据库中user和db、host这三个最重要的权限表。

    User表中的权限是针对所有数据库的

    Db表存储了某个用户对一个数据库的权限

    Host表中存储了某个主机对数据库的操作权限

    配合db表对给定主机上数据库级操作权限做更细致的控制(新版本已经取消了host表)

    .当用户进行连接时,权限表的存取过程有一些两个阶段:

    1:先从user表中的host、user和password这3个字段中判断连接的IP、用户名和密码是否存在与表中,如果存在,则通过身份验证,否则拒绝连接

    2:如果通过身份验证,则按照一些权限表的顺序得到数据库权限:user->db->tables_priv->columns_priv。在这几个权限表中,权限范围依次递减,全局权限覆盖局部权限

    3当用户通过权限认证,进行权限分配是时先检查全局权限表user,如果user中对应权限为Y,则此用户对所有数据库的权限都为Y,将不再检查db、tables_priv和columns_priv;如果为N,则到db表中检查此用户对应的具体数据库,并得到db中为Y的权限,如果db中相应权限为N,则检查tables_priv中此数据库对应的具体表,取得表中为Y的权限,如果tables_priv中相应的权限为N,则检查columns_priv中此表对应的具体列,取得列中为Y的权限

    五.用户表user

    user表有39个字段。这些字段可以分为4类:

    l 用户列:host,user,password三个字段

    l 安全列:ssl_type、ssl_cipher、x509_issuer、x509_subject

    n ssl用于加密;x509标准可以用来标识用户。普通的发行版都没有加密功能。可以使用SHOW VARIABLES LIKE 'have_openssl'语句来查看是否具有ssl功能。如果取值为DISABLED,那么则没有ssl加密功能。

    l 资源控制列:max_questions(每小时可以允许执行多少次查询)、max_updates(每小时可以允许执行多少次更新)、max_connections(每小时可以建立多少连接)、max_user_connections(单个用户可以同时具有的连接数)

    n 默认值为0,表示无限制。

    l 权限列:

    n 这些字段的值只有Y和N。Y表示该权限可以用到所有数据库上;N表示该权限不能用到所有数据库上;通常,可以使用GRANT语句Wie用户赋予一些权限,也可以通过Update语句更新user表的方式来设置权限;不过,修改user表之后,一定要执行一下FLUSH PRIVILEGES

    说明
    Select_priv 确定用户是否可以通过SELECT命令选择数据
    Insert_priv 确定用户是否可以通过INSERT命令插入数据
    Update_priv 确定用户是否可以通过UPDATE命令修改现有数据
    Delete_priv 确定用户是否可以通过DELETE命令删除现有数据
    Create_priv 确定用户是否可以创建新的数据库和表
    Drop_priv 确定用户是否可以删除现有数据库和表
    Reload_priv 确定用户是否可以执行刷新和重新加载MySQL所用各种内部缓存的特定命令,包括日志、权限、主机、查询和表执行flush-hosts,flush-logs,flush-privileges,flush-status,flush-tables,flush-threads,refresh,reload等命令的而全新
    Shutdown_priv 确定用户是否可以关闭MySQL服务器。在将此权限提供给root账户之外的任何用户时,都应当非常谨慎
    Process_priv 确定用户是否可以通过SHOW PROCESSLIST命令查看其他用户的进程
    File_priv 确定用户是否可以执行SELECT INTO OUTFILE和LOAD DATA INFILE命令,查看服务器主机上的文件
    Grant_priv 确定用户是否可以将已经授予给该用户自己的权限再授予其他用户
    References_priv 目前只是某些未来功能的占位符;现在没有作用
    Index_priv 确定用户是否可以创建和删除表索引
    Alter_priv 确定用户是否可以重命名和修改表结构
    Show_db_priv 确定用户是否可以查看服务器上所有数据库的名字,包括用户拥有足够访问权限的数据库
    Super_priv 确定用户是否可以执行某些强大的管理功能,例如通过KILL命令删除用户进程,使用SET GLOBAL修改全局MySQL变量,执行关于复制和日志的各种命令
    Create_tmp_table_priv 确定用户是否可以创建临时表
    Lock_tables_priv 确定用户是否可以使用LOCK TABLES命令阻止对表的访问/修改
    Execute_priv 确定用户是否可以执行存储过程
    Repl_slave_priv 确定用户是否可以读取用于维护复制数据库环境的二进制日志文件。此用户位于主系统中,有利于主机和客户机之间的通信
    Repl_client_priv 确定用户是否可以确定复制从服务器和主服务器的位置
    Create_view_priv 确定用户是否可以创建视图
    Show_view_priv 确定用户是否可以查看视图或了解视图如何执行
    Create_routine_priv 确定用户是否可以更改或放弃存储过程和函数
    Alter_routine_priv 确定用户是否可以修改或删除存储函数及函数
    Create_user_priv 确定用户是否可以执行CREATE USER命令,这个命令用于创建新的MySQL账户
    Event_priv 确定用户能否创建、修改和删除事件
    Trigger_priv 确定用户能否创建和删除触发器

    其他几个db、host、tables_priv、columns_priv权限表类似,可以通过desc查看字段

    账号管理

    创建或更改账号

    语句命令方式

    有两种方法:

    (1)使用GRANT语法创建(推荐)

    直接insert,update权限表

    GRANT 权限类型列表 
    on  object_type {表名称|*|*.*|db_name.*}
     to user [identified by password ‘密码’][,user [identified by password ‘密码’] ....
    with grant option;
    其中:object_type = TABLE | FUNCTION | PROCEDURE
    示例:
    例1:创建用户admin,权限为可以在所有数据库上执行所有权限,但只能从本地进行连接
    GRANT ALL PRIVILEGES ON *.* TO admin@localhost;
    可以发现除了Grant_priv权限外,所有权限在user表里面都是Y.

    例2:在例1基础上,增加对admin的grant权限
    GRANT ALL PRIVILEGES ON *.* TO admin@localhost WITH GRANT OPTION;

    例3:在例2基础上,设置密码为“123”
    GRANT ALL PRIVILEGES ON *.* TO admin@localhost IDENTIFIED BY '123' WITH GRANT OPTION;

    例4:创建新用户chai,可以从任何IP进行连接,权限为对test数据库的所有表进行SELECT、UPDATE、INSERT、DELETE操作,初始密码为“123”
    GRANT SELECT,INSERT,UPDATE,DELETE ON test.* TO 'chai'@'%' IDENTIFIED BY '123';
    发现此例,user表中权限都是N,db表中增加的记录权限则都是Y。

    注意:
    - mysql数据库的user表中user的值为空,表示所有用户都可以连接(此处不能用*,*表示用户名为*的用户了)
    - mysql数据库的user表中host的值为*或空,表示所有外部IP都可以连接,但是不包括本地服务器localhost,因此如果要包括本地服务器,必须单独为localhost赋予权限。如果host的值为%,表示所有IP,包括本地服务器localhost。
    Host值User值被条目匹配的连接
    ‘thomas.loc.gov’ ‘fred’ fred,从thomas.loc.gov连接
    ‘thomas.loc.gov’ ‘’ 任何用户,从thomas.loc.gov连接
    ‘%’ ‘fred’ fred,从任何主机连接
    ‘%’ ‘’ 任何用户,从任何主机连接
    ‘%.loc.gov’ ‘fred’ fred,从在loc.gov域的任何主机连接
    ‘x.y.%’ ‘fred’ fred,从在x.y.net,x.y.com等主机连
    ‘144.155.166.177’ ‘fred’ fred,从144.155.166.177的IP地址连接
    ‘144.155.166.%’ ‘fred’ fred,从‘144.155.166.*的C类子网的任何主机连接

    如果有多个匹配,服务器必须选择使用哪个条目,按照下述原则来解决:

    • 服务器在启动时读入user表后进行排序

    • 首先以最具体的host值排序,%排后面,如果host相同,以最具体的user值排序,空User值排后面。

    • 服务器使用与客户端和用户名匹配的第一行
  • 相关阅读:
    JVM系列(五)并发相关
    String的hashCode 和equals 区别
    JVM系列(四)生命周期和classloader
    jvm面试题解答
    memcached(十三)注意事项
    memcached(十二)监控
    memcached(十)动态扩容
    memcached(九)--LRU
    memcached(八)-- set指令内部实现
    用通俗易懂的大白话讲解Map/Reduce原理
  • 原文地址:https://www.cnblogs.com/20010405ma/p/13860801.html
Copyright © 2011-2022 走看看