一、权限与安全
数据库的权限和数据库的安全是息息相关的,不当的权限设置可能会导致各种各样的安全隐患,操作系统的某些设置也会对MySQL的安全造成影响。
1、权限系统的工作原理
MySQL的权限系统通过下面两个阶段进行认证:
对连接到数据库的用户进行身份认证,以此来判断此用户是否属于合法的用户,合法的用户通过认证,不合法的用户拒绝连接
对通过认证的合法的用户则赋予相应的权限,用户可以在这些权限范围内对数据库做相应的操作
1.1身份认证
对于身份认证,MySQL是通过IP地址和用户名联合进行确认的,也就是说,同样的一个用户名如果来自不同的IP地址,则MySQL将其视为不同的用户。
例如MySQL安装后默认创建的用户root
localhost表示用户root只能从本地(localhost)进行连接才可以通过认证,此用户从其他任何主机对数据库进行的连接都将被拒绝,除非安装时选择了(Enablerootaccessfromremotemachines),那创建的就是root%用户,就表示可以从任意主机通过root用户进行连接。1.2权限表的存取
在权限存取的两个过程中,系统会用到”mysql”数据库中user和db、host这三个最重要的权限表。
user表中的权限是针对所有数据库的,db表存储了某个用户对一个数据库的权限,host表中存储了某个主机对数据库的操作权限,配合db表对给定主机上数据库级操作权限做更细致的控制;但是很少用,新版本已经取消了host表。
当用户进行连接时,权限表的存取过程有一些两个阶段:
先从user表中的host、user和password这3个字段中判断连接的IP、用户名和密码是否存在与表中,如果存在,则通过身份验证,否则拒绝连接。
如果通过身份验证,则按照一些权限表的顺序得到数据库权限:user-db-tables_priv-columns_priv。在这几个权限表中,权限范围依次递减,全局权限覆盖局部权限。
n当用户通过权限认证,进行权限分配是时先检查全局权限表user,如果user中对应权限为Y,则此用户对所有数据库的权限都为Y,将不再检查db、tables_priv和columns_priv;如果为N,则到db表中检查此用户对应的具体数据库,并得到db中为Y的权限,如果db中相应权限为N,则检查tables_priv中此数据库对应的具体表,取得表中为Y的权限,如果tables_priv中相应的权限为N,则检查columns_priv中此表对应的具体列,取得列中为Y的权限。
用户表user
user表有39个字段。这些字段可以分为4类:
用户列:host,user,password三个字段
安全列:ssl_type、ssl_cipher、x_issuer、x_subject
ssl用于加密;x标准可以用来标识用户。普通的发行版都没有加密功能。可以使用SHOWVARIABLESLIKEhave_openssl语句来查看是否具有ssl功能。如果取值为DISABLED,那么则没有ssl加密功能。
资源控制列:max_questions(每小时可以允许执行多少次查询)、max_updates(每小时可以允许执行多少次更新)、max_connections(每小时可以建立多少连接)、max_user_connections(单个用户可以同时具有的连接数)
默认值为0,表示无限制。
权限列:
这些字段的值只有Y和N。Y表示该权限可以用到所有数据库上;N表示该权限不能用到所有数据库上;通常,可以使用GRANT语句Wie用户赋予一些权限,也可以通过Update语句更新user表的方式来设置权限;不过,修改user表之后,一定要执行一下FLUSHPRIVILEGES
其他几个db、host、tables_priv、columns_priv权限表类似,可以通过desc查看字段。
二、账号管理
2.1创建或更改账号
语句命令方式
有两种方法:
(1)使用GRANT语法创建(推荐)
(2)直接insert,update权限表
GRANT权限类型列表onobject_type{表名称
*
*.*
db_name.*}touser[identifiedbypassword‘密码’][,user[identifiedbypassword‘密码’]....withgrantoption;其中:object_type=TABLE
FUNCTION
PROCEDURE
示例:
例1:创建用户admin,权限为可以在所有数据库上执行所有权限,但只能从本地进行连接
GRANTALLPRIVILEGESON*.*TOadmin
localhost;可以发现除了Grant_priv权限外,所有权限在user表里面都是Y.
例2:在例1基础上,增加对admin的grant权限
GRANTALLPRIVILEGESON*.*TOadmin
localhostWITHGRANTOPTION;例3:在例2基础上,设置密码为“”
GRANTALLPRIVILEGESON*.*TOadmin
localhostIDENTIFIEDBYWITHGRANTOPTION;例4:创建新用户chai,可以从任何IP进行连接,权限为对test数据库的所有表进行SELECT、UPDATE、INSERT、DELETE操作,初始密码为“”
GRANTSELECT,INSERT,UPDATE,DELETEONtest.*TOchai
%IDENTIFIEDBY;发现此例,user表中权限都是N,db表中增加的记录权限则都是Y。
注意:
mysql数据库的user表中user的值为空,表示所有用户都可以连接(此处不能用*,*表示用户名为*的用户了)
mysql数据库的user表中host的值为*或空,表示所有外部IP都可以连接,但是不包括本地服务器localhost,因此如果要包括本地服务器,必须单独为localhost赋予权限。如果host的值为%,表示所有IP,包括本地服务器localhost。
如果有多个匹配,服务器必须选择使用哪个条目,按照下述原则来解决:
服务器在启动时读入user表后进行排序
首先以最具体的host值排序,%排后面,如果host相同,以最具体的user值排序,空User值排后面。
服务器使用与客户端和用户名匹配的第一行
navicat图形化界面
1、新建用户
2、填写用户名、主机和密码
3、配use表的安全列和资源权限列的信息
0表示不限制
4、选择user表的权限,这是针对所有数据库的全局权限
5、也可以设置单独某个数据库或某个表,或某个列的权限
SQLyog图形化界面
1、新建用户
2、填写用户名密码和资源权限等
3、全局权限
4、某个库或某个表等局部权限
2.2查看账户权限
showgrantsforuser
host;2.3删除用户
dropuser用户名;