mysql权限管理
学习目标
- 学习掌握mysql赋权操作
- 了解mysql权限验证流程
连接mysql的必要条件
- 网络要通畅
- 用户名和密码要正确
- 数据库需要加IP白名单
- 更细粒度的验证(库,表,列权限类型等)
数据有哪些权限:
Data Prvileges
- DATA:SELECT,INSERT,UPDATE,DELETE
Definition Privileges
- DataBase:CREATE,ALTER,DROP
- Table:CREATE,ALTER,DROP
- VIEW/FUNCTION/TRIGGER/PROCEDURE:CREATE,ALTER,DROP
Administrator Privileges
- Shutdown DataBase
- Replication Slave
- Replication Client
- File Privilege
赋权的操作
mysql >help grant
例子:
使用mysql自带的命令,创建一个用户并赋权;
#创建用户 mysql> CREATE USER net@localhost IDENTIFIED BY '000000'; Query OK, 0 rows affected (0.00 sec) #在所有库赋select权限 mysql> GRANT SELECT ON *.* TO net@localhost WITH GRANT OPTION; #localhost 是IP白名单;
其他方法赋权:
更改数据库记录:
- 首先向User表里面插入一条记录,根据自己的需求选择是否向db和table_pirv表插入记录
- 执行flush privileges 命令,让权限信息生效
更简单方法赋权:
GRANT 语句会判断是否存在该用户,如果不存在则新建;
mysql> GRANT SELECT ON *.* TO net@localhost IDENTIFIED BY '000000' WITH GRANT OPTION; #将密码也放入里面。localhost 是IP白名单;
相关操作
查看用户权限:
#查看当前用户的权限: mysql> show grants; #查看其它用户的权限: mysql> show grants for nn@localhost;
如何更改用户的权限:
#回收不需要的权限 mysql> REVOKE SELECT ON *.* FROM netease@localhost; #revoke 不能收回usage权限,也就是说revoke用户不能删除用户; #重新赋权: mysql> GRANT INSERT ON *.* TO netease@localhost; #all privilege 参数赋所有权限;
如何更改用户的密码:
1.用新密码,grant语句重新授权如: mysql> GRANT USAGE ON *.* TO net@localhost IDENTIFIED BY '111111' WITH GRANT OPTION; #此时便将net用户的密码从'000000'改到了'111111' 2.更改数据库记录,update user表的password字段 3.执行set password语句,下例中修改账号nn@localhost密码 mysql> SET PASSWORD FOR nn@localhost = PASSWORD ('333'); 注意:用这种办法,更改完成需要flush privileges刷新权限信息,不推荐;
删除用户: drop user
mysql> drop user netease@localhost;
With Grant Option
- 允许被授予权利的人把这个权限授予其他的人
权限管理的秘密
mysql权限信息存储结构:
- mysql权限信息是存在数据库表中
- mysql账号对应的密码也加密存储在数据库表中
- 每一种权限类型在元数据里都是枚举类型,表明是否有该权限
有哪些权限相关的表:
- user
- db
- tables_priv
- columns_priv
权限级别从 库级别->表级别->字段级别
权限验证流程:
假设存在用户:netease,用户欲查询city表的数据
第一步:验证User表
mysql> select * from mysql.user where user = 'netease' G;
如果存在,说明用户存在并且可以连接到数据库中
第二部:验证DB表
mysql> select * from mysql.db;
如果不存在,说明不存在DB层级权限
第三部分:验证table表
mysql> select * from mysql.tables_priv G;
第四部分:验证column_priv
示例:
当给某个用户所有库的 select 权限时,改权限会在user表中的select 权限显示;
而如果某个权限在某个具体库中有select 权限时,则会在DB表中显示该权限;
table 和 column 的权限 也类似;
就是 如果 对整个DB都有的权限 会在DB权限列显示,如果是具体的table表的权限则会在具体 table表中显示该权限。
user表中的每个权限都代表了对所有数据库都有的权限;
user表中的列主要:用户列,权限列,安全列,资源控制列
连接过程是从user表中的 host,user,password这三列;
host为% 可以匹配任何id,空host值等价于%
当user值与host值有多条对应时:
| host值 | user值 | 被条目匹配的连接 |
| 'thomas.loc.gov' | 'fred' | fred,从thomas.loc.gov连接 |
| 'thomas.loc.gov' | '' | 任何用户,从thomas.loc.gov连接 |
| '%' | 'fred' | fred,从任何主机连接 |
| '144.155.166.177' | 'fred' | fred,从144.155.166.177IP地址的主机连接 |
host中既有'thomas.lo.gov',又有“%”,那么使用fred,从thomas.loc.gov连接过来,显然user表里面这两条记录都符合匹配条件,那系统会选择哪一个呢?
如果有多个匹配,服务器选择原则:
- 服务器在启动时读入user表后进行排序
- 然后当用户试图连接时,以排序的顺序浏览条目
- 服务器使用与客户端和用户名匹配的第一行
排序时,首先以最具体的host值排序;
注意:user表中host的值 为%,或者为空的时候,表示外部所有IP都可以连接,但是不包括本地服务器localhost,因此如果要包括本地服务器,必须单独为localhost赋予权限。
super,process,file 等管理权限不能指定某个数据库,ON 后面必须跟“*.*”;
小结:
- mysql权限信息都是以数据记录的形式存储在数据库的表中
- mysql的权限验证相比网站登录验证多了白名单的环节,并且粒度更细,可以精确到表和字段
mysql权限上有哪些问题:
- 使用Binary二进制安装管理用户没有设置密码
- mysql默认的test库不受权限控制,存在安全风险
在mysql二进制安装辅助安装工具:mysql_secure_installation使用安全安装 ;
小结:
- 权限相关的操作不要直接操作表,统一使用mysql命令
- 使用二进制安装mysql后,需要重置管理用户的密码
- 线上数据库不要留test库
总结:
- 加IP白名单
- 赋权:GRANT INSERT ON *.* TO netease@localhost;
- 查看:show grants;
- 更改用户权限:先revoke掉再grant
- 更改密码:
- 用grant....inentified by'new_pw'新密码覆盖
- 更改数据库user表
- 使用set password for nn@localhost=PASSWORD('NEW_PASSWORD')
- 权限验证流程:user->db->table->column
- host,user多条匹配,服务器排序原则:先排序最具体值
- %,空表示外部所有IP都可以连接,但不包含本地;