28.Mysql权限与安全
28.Mysql权限与安全
28.1 Mysql权限管理
28.1.1 权限系统的工作原理
对连接的用户进行身份认证,合法的用户通过认证,不合法的用户拒绝连接;
对通过认证的合法用户赋予相应的权限,用户可以在取得的权限范围内对数据库做相应的操作。
身份认证在user表中包括三个属性:host、user、password。
Mysql权限表在启动时就已加载在内存中,通过身份认证的用户直接在内存中存取权限表。
28.1.2 账户管理
1.创建账户
语法:
create user user_name identified by 'password';
例子:
create user user_1 identified by '123456';
select * from user;
-- 授予登录权限
grant usage on *.* to 'user_1'@'%';
2.修改账户[密码]
命令行方式:
# mysqladmin -h host_name -u user_name password "newpwd"
SQL方式:
mysql> set password for 'user_name'@'host_name'=password('newpwd');
SQL方式修改自身密码:
mysql> set password=password('newpwd');
直接修改user表的方式:
mysql> update user set password=password('newpwd') where host='host_name' and user='user_name';
3.删除账户
drop user user_name[,...];
28.1.3 权限管理
1.权限表按范围分为4级:
user 全局级权限(物理数据库级)
db 逻辑数据库级权限(对应其它数据库的模式级)
tables_priv 表级权限
columns_priv 列级权限
权限获取顺序为:user-->db-->tables_priv-->columns_priv
即当上一级没有该权限时才向下一级获取,范围更大的权限覆盖范围小的权限。
2.权限的种类分为25种:
select_priv 查询权限
insert_priv 新增权限
update_priv 修改权限
delete_priv 删除权限
index_priv 索引权限(create、alter、drop索引的权限)
alter_priv 修改表权限
create_priv 创建表权限
drop_priv 删除表权限
grant_priv 授权的权限
create_view_priv 视图权限(create、alter、drop视图的权限)
show_view_priv 查看视图的权限
create_routine_priv 存储过程和函数的创建权限(create、alter、drop视图的权限)
alter_routine_priv 存储过程和函数的修改、删除权限(create、alter、drop视图的权限)
references_priv
reload_priv
shutdown_priv
process_priv
file_priv
show_db_priv
super_priv
create_tmp_table_priv
lock_tables_priv
execute_priv
repl_slave_priv
repl_client_priv
usage 登录权限
all privileges 上述所有权限的统称(不包括grant_priv,grant_priv由with grant option选项决定)
3.查看账户权限
show grants for user@host;
或者
select * from user;
select * from db;
select * from information_schema.schema_privileges where grantee="user@host";
select * from tables_priv;
select * from columns_priv;
4.授权
语法:
grant 权限 on [对象类型] {范围和对象} to user@host[,...] with grant option;
说明:
权限 上述的25种权限及统称all privileges。
对象类型 分为table、function、procedure,默认为table,给函数或存储过程单独授权时需指定对象类型(function、procedure)。
范围和对象 指授权的客体,即将某个对象或某个范围内的所有对象的权限授出。
全局级(user表)用*.*表示,*.*即所有数据库的所有对象,该权限存储于user表;
数据库级(db表)用db_name.*表示,db_name.*即db_name数据库的所有对象,该权限存储于db表;
表级(tables_priv表)用db_name.tab_name表示,db_name.tab_name即db_name数据库的tab_name表,该权限存储于tables_priv表;
列级(columns_priv表)用db_name.tab_name.col_name表示,db_name.tab_name.col_name即db_name数据库的tab_name表的col_name列,该权限存储于columns_priv表。
user@host 指授权的主体,即授给谁。user表示用户,host表示用户的登录地址。
with grant option 表示用户能否将获得的权限进行转授,转授功能对应grant_priv权限。
例子1:给用户user_1授scott.emp.sal列的select权限。
创建用户test
create user user_1@localhost indetifyde by 'liwei';
grant select on scott.emp.sal to user_1@localhost;
select * from columns_priv;
例子2:给用户user_1授scott.emp表的select权限。
grant select on scott.emp to user_1@localhost;
select * from tables_priv;
例子3:给用户user_1授scott数据库的select权限。
grant select on scott.* to user_1@localhost;
select * from db;
例子4:给用户user_1授所有对象的select权限。
grant select on *.* to user_1@localhost;
select * from user;
例子4:给用户user_1授所有对象的select权限,并允许其转授权。
grant select on *.* to user_1@localhost with grant option;
select * from user;
5.回收权限
语法:
revoke 权限 on 模式.对象 from 用户@host;
6.账户限制(不建议设置)
账户限制指限制某个账户访问,当超过user中max_questions、max_updates、max_connections、max_user_connections四个列设置的阈值时将提示资源不足。
语法:
grant ... with option;
option包括下面4个选项:
max_queries_per_hour count:每小时最大查询次数,对应max_questions列设置;
max_updates_per_hour count:每小时最大更新次数,对应max_updates列设置;
max_connections_per_hour count:每小时最大连接次数,对应max_connections列设置;
max_user_connections count:最大用户连接次数,对应max_user_connections列设置;
例子:
28.2 mysql安全问题
28.2.1 操作系统相关的安全问题
28.2.2 数据库相关的安全问题
28.3 其他安全设置选项
28.3.1 old-passwords
28.3.2 safe-user-create
28.3.3 secure-auth
28.3.4 skip-grant-tables
28.3.5 skip-network
28.3.6 skip-show-database
28.4 小结
28.Mysql权限与安全的更多相关文章
- MySQL 权限相关
# ============================= mysql 权限相关 =====================================================gran ...
- MySQL权限授权认证详解
MySQL权限授权认证详解 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.MySQL权限系统介绍1>.权限系统的作用是授予来自某个主机的某个用户可以查询.插入.修改.删除 ...
- MySQL权限和用户管理
Mysql权限系统(由mysql权限表进行控制user和db)通过下面两个方面进行认证: 1)对于连接的用户进行身份验证,合法的通过验证,不合法的拒绝连接. 2)对于通过连接认证的用户,可以在合法的范 ...
- 转 MySQL权限管理
###sample: #####view all userSELECT user, host from mysql.user;mysql> SELECT user, host from mysq ...
- MySQL 权限与安全
一.MySQL权限系统通过两个阶段进行认证: (A) 对用户进行身份认证,IP地址和用户名联合, (B) 对合法用户赋予相应权限,权限表在数据库启动的时候载入内存中. 二.在权限的存取过程中,会用到& ...
- mysql权限管理
经常遇到有网友在QQ群或者论坛上问关于mysql权限的问题,今天抽空总结一下关于这几年使用MYSQL的时候关于MYSQL数据库的权限管理的经验,也希望能对使用mysql的网友有所帮助! 一.MYSQL ...
- mysql权限与安全
一.MySQL权限系统通过两个阶段进行认证: (A) 对用户进行身份认证,IP地址和用户名联合, (B) 对合法用户赋予相应权限,权限表在数据库启动的时候载入内存中. 二.在权限的存取过程中,会用到& ...
- MYSQL权限表user操作
MYSQL权限表user cmd中进人mysql找到mysql安装目录 E:\wamp\bin\mysql\mysql5.6.12\bin>mysql.exe -u 用户名 - ...
- 【MySQL学习笔记】MySQL权限表
MySQL权限表,控制用户对数据库的访问,存在mysql数据库中,由mysql_install_db初始化,包括user,db,host,tables_priv,columns_priv,procs_ ...
随机推荐
- grafna与饼状图
官网: https://grafana.com/plugins/grafana-piechart-panel/installation https://grafana.com/p ...
- 串口接收端verilog代码分析
串口接收端verilog代码分析 `timescale 1ns / 1ps ////////////////////////////////////////////////////////////// ...
- nodejs教程 安装express及配置app.js文件的详细步骤
来自:http://www.jb51.net/article/36710.htm express.js是nodejs的一个MVC开发框架,并且支持jade等多种模板.下面简单来说说express的 ...
- 从Java角度理解Angular之入门篇:npm, yarn, Angular CLI
本系列从Java程序员的角度,带大家理解前端Angular框架. 本文重点介绍Angular的开发.编译工具:npm, yarn, Angular CLI,它们就像Java在中的Maven,同时顺便介 ...
- Azure CosmosDB (2) CosmosDB中的数据一致性
<Windows Azure Platform 系列文章目录> 为了保证分布式数据库的高可用性和低延迟性,我们需要在可用性.延迟和吞吐量之间进行权衡. 绝大部分的商业分布式数据库,要求开发 ...
- 【java】之cron表达式
秒(~) 分钟(~) 小时(~) 天(月)(~,但是你需要考虑你月的天数) 月(~) 天(星期)(~ =SUN 或 SUN,MON,TUE,WED,THU,FRI,SAT) .年份(-) 其中每个元素 ...
- Zookeeper集群节点数量为什么要是奇数个?
无论是公司的生产环境,还是自己搭建的测试环境,Zookeeper集群的节点个数都是奇数个.至于为什么要是奇数个,以前只是模糊的知道是为了满足选举需要,并不知道详细的原因.最近重点学习zookeeper ...
- phpwind v9存在命令执行漏洞(登陆后台)
已知漏洞:https://www.seebug.org/vuldb/ssvid-94465 phpwind v9最新版存在命令执行漏洞(登陆后台) Phpwind_v9.0.2(最新版),phpwin ...
- 全面了解Ngnix的主要应用的场景
前言 本文只针对 Nginx 在不加载第三方模块的情况能处理哪些事情,由于第三方模块太多所以也介绍不完,当然本文本身也可能介绍的不完整,毕竟只是我个人使用过和了解到过得.所以还请见谅,同时欢迎留言交流 ...
- import 搜索路径
来源 http://www.runoob.com/python/python-mysql.html 搜索路径 当你导入一个模块,Python 解析器对模块位置的搜索顺序是: 1.当前目录 2.如果不在 ...