Mysql

关注公众号 jb51net

关闭
首页 > 数据库 > Mysql > MySQL安全管理

MySQL数据库必知必会之安全管理

作者:低吟不作语

MySQL数据库通常包含关键的数据,为确保这些数据的安全和完整,需要利用访问控制和用户管理的功能,下面这篇文章主要给大家介绍了关于MySQL数据库必知必会之安全管理的相关资料,需要的朋友可以参考下

权限表

MySQL 服务器通过权限表来控制用户对数据库的访问,由 mysql_install_db 脚本初始化,MySQL 会根据这些权限表的内容为每个用户赋予相应的权限

1. user 表

user 表是 MySQL 最重要的一个权限表,有 49 个字段,这些字段可以分成四类:

2. db 表

db 表存储用户对某个数据库的操作权限,决定用户能从哪个主机存取哪个数据库,大致可以分为两类字段:

3. tables_priv 表

tables_priv 表用来对表设置操作权限,有八个字段:

4. columns_priv 表

columns_priv 表用来对表的某一列设置权限,字段 Column_name 用来指定对哪些数据列具有操作权限

账户管理

1. 新建普通用户

在 MySQL8 以前可以使用 GRANT 语句新建用户,MySQL8 以后需要先创建用户才能执行 GRANT 语句

CREATE USER user[IDENTIFIED BY 'password'][,user[IDENTIFIED BY 'password']]...

user 参数表示新建用户的账户,由用户(User)和主机名(Host)构成,形式如 Justin@localhost,IDENTIFIED BY 关键字用来设置用户的密码,password 参数表示用户密码,可以同时创建多个用户,新用户可以没有初始密码

2. 删除普通用户

DROP USER user[,user]...

user 参数表示新建用户的账户,由用户(User)和主机名(Host)构成,可以同时删除多个用户

也可以使用 DELETE 语句直接将用户信息从 mysql.user 表删除,前提是拥有对 mysql.user 表的删除权限

DELETE FROM mysql.user WHERE Host='hostname' AND User='username';

3. Root 用户修改自己的密码

root 用户可以使用 ALTER 命令修改密码

ALTER USER USER() IDENTIFIED BY 'new_password'

也可以使用 SET 语句修改密码

SET PASSWORD='new_password'

4. Root 用户修改普通用户的密码

root 用户可以使用 ALTER 命令修改普通用户的密码

ALTER USER user [IDENTIFIED BY 'new_password'][,user [IDENTIFIED BY 'new_password']]...

也可以使用 SET 语句修改普通用户的密码

SET PASSWORD FOR 'username'@'hostname'='new_password'

普通用户也可对自己的密码进行管理,方式与 Root 用户相同

密码管理

1. 密码过期策略

数据库管理员可以手动设置账号密码过期,也可以建立一个自动密码过期策略。过期策略可以是全局的,也可以为每个账号设置单独的过期策略

手动设置账号密码过期:

ALTER USER user PASSWORD EXPIRE

密码过期策略基于最后修改密码的时间自动将密码设置为过期,MySQL 使用 default_password_lifetime 系统变量建立全局密码过期策略,默认值为 0 表示不使用自动过期策略。它允许的值是正整数 N,表示密码必须每隔 N 天进行修改。该值可在服务器的配置文件设置,也可以使用 SQL 语句设置,使用 SQL 语句方式如下:

SET PERSIST default_password_lifetime=180

每个账号既可沿用全局密码过期策略,也可单独设置策略

# 设置账号密码90天过期
CREATE USER 'Justin@localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
ALTER USER 'Justin@localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
# 设置账号密码永不过期
CREATE USER 'Justin@localhost' PASSWORD EXPIRE NEVER;
ALTER USER 'Justin@localhost' PASSWORD EXPIRE NEVER;
# 沿用全局密码过期策略
CREATE USER 'Justin@localhost' PASSWORD EXPIRE DEFAULT;

2. 密码重用策略

MySQL 限制使用已用过的密码,重用限制策略基于密码更改时间和使用时间,可以是全局的,也可以为每个账号设置单独的策略

MySQL 基于以下规则来限制密码重用:

  1. 如果账户密码限制基于密码更改的数量,那么新密码不能从最近限制的密码数量中选择,例如,如果密码更改的最小值为3,那么新密码不能与最近3个密码中任何一个相同
  2. 如果账户密码限制基于时间,那么新密码不能从规定时间内选择,例如,如果重用周期为60天,那么新密码不能从最近60天内使用的密码中选择

可以在配置文件设置密码重用策略,也可以使用 SQL 语句

# 密码重用数量
SET PERSIST password_history=6;
# 密码重用周期
SET PERSIST password_reuse_interval=365;

每个账号既可沿用全局密码重用策略,也可单独设置策略

# 不能使用最近5个密码
CREATE USER 'Justin@localhost' PASSWORD PASSWORD HISTORY 5;
ALTER USER 'Justin@localhost' PASSWORD PASSWORD HISTORY 5;
# 不能使用最近365天内的密码
CREATE USER 'Justin@localhost' PASSWORD REUSE INTERVAL 365 DAY;
ALTER USER 'Justin@localhost' PASSWORD REUSE INTERVAL 365 DAY;

角色

在 MySQL 中,角色是权限的集合,可以为角色添加或移除权限。用户可以被赋予角色,同时也被赋予角色包含的权限

1. 创建角色并授权

创建角色语句如下:

CREATE ROLE 'role_name'[@'host_name'][,'role_name'[@'host_name']]...

为角色授权语句如下:

GRANT privileges ON table_name TO 'role_name'[@'host_name'];

privileges 代表权限的名称,多个权限以逗号1隔开,可以使用 SHOW 语句查询权限名称

SHOW PRIVILEGES\G;

2. 给用户添加角色

GTANT role[,role2,...] TO user[,user2,...];

role 代表角色,user 代表用户,添加之后如果角色处于未激活状态,需要先将用户对应的角色激活

SET ROLE DEFAULT

3. 编辑角色或权限

撤销用户角色的 SQL 语句如下:

REVOKE role FROM user;

撤销角色权限的 SQL 语句如下:

REVOKE privileges ON tablename FROM 'rolename';

4. 删除角色

DROP ROLE role[,role2]...

总结

到此这篇关于MySQL数据库必知必会之安全管理的文章就介绍到这了,更多相关MySQL安全管理内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:
阅读全文