Mysql

关注公众号 jb51net

关闭
首页 > 数据库 > Mysql > MySQL用户账户分类

MySQL用户账户分类的使用

作者:lang20150928

MySQL 8.0.16引入用户账户分类机制,通过SYSTEM_USER权限区分系统用户和普通用户,下面就来详细的介绍一下如何使用,感兴趣的可以了解一下

MySQL 8.0.16 及以后版本 中引入的一项重要安全机制:用户账户分类(Account Categories),通过 SYSTEM_USER 权限来区分 系统用户(System User)普通用户(Regular User)

下面我将用中文为你逐层解析、通俗易懂地解释这段内容的核心思想和实际意义,帮助你真正“理解”它。

一、核心概念:什么是“系统用户”和“普通用户”?

从 MySQL 8.0.16 开始,MySQL 把用户分为两类:

类型判断标准俗称
系统用户(System User)拥有 SYSTEM_USER 权限的用户“高权限管理员”
普通用户(Regular User)没有 SYSTEM_USER 权限的用户“一般管理员或应用用户”

✅ 注意:SYSTEM_USER 是一个独立的权限,它不赋予任何其他操作能力(比如建表、查数据),它的作用是控制谁能管理“系统级账户”。

二、为什么要分“系统用户”和“普通用户”?—— 安全隔离

问题背景:

在早期版本中,只要一个用户有 CREATE USERSUPER 权限,他就可以:

这就导致了一个严重问题:
👉 一个“普通管理员”可能误删 root 账户,或者被攻击者利用提权,造成整个数据库失控。

解决方案:

引入 SYSTEM_USER 权限作为“守门员”,实现权限的层级控制

三、关键规则总结(重点!)

✅ 规则 1:谁可以改谁?

操作者身份能否修改“系统用户”?能否修改“普通用户”?
系统用户(有 SYSTEM_USER)✅ 可以(需其他权限配合)✅ 可以
普通用户(无 SYSTEM_USER)❌ 不可以✅ 可以

📌 举例:

这就像公司里的“超级管理员”和“部门管理员”:

✅ 规则 2:哪些操作受SYSTEM_USER限制?

以下操作如果涉及“系统用户”,执行者必须自己也是“系统用户”:

操作说明
账户管理(CREATE USER, GRANT, ALTER USER, DROP USER)修改系统用户的密码、权限、认证方式等,必须由系统用户操作
终止会话(KILL)你想 KILL 一个系统用户的连接?你也得是系统用户才行!
设置 DEFINER如果你想让一个存储过程/视图以“系统用户”身份运行(DEFINER = 'root'@'localhost'),那你必须有 SYSTEM_USER 权限
设置 mandatory_roles不能把“系统用户角色”设为强制角色(避免所有用户自动获得高权限)
审计豁免(MySQL Enterprise Audit)从 8.0.28 起,系统用户自动获得 AUDIT_ABORT_EXEMPT,即使审计规则禁止某些查询,系统用户仍可执行 —— 这是为了防止审计配置错误导致“完全无法登录”的灾难

四、“会话”也有系统/普通之分

不仅用户分类型,当前连接的“会话”也分类型

会话可以动态变化!

-- 当前是普通会话
SET ROLE admin_role; -- 如果 admin_role 包含 SYSTEM_USER
-- 现在变成了系统会话!

-- 再取消角色
SET ROLE NONE;
-- 又变回普通会话了

📌 注意:

五、如何保护系统账户不被普通用户篡改?(实战建议)

仅仅不让普通用户有 SYSTEM_USER 权限还不够!因为还有另一种方式可以改用户信息:

⚠️ 直接修改 mysql 系统数据库中的表(如 mysql.user)!

所以,为了彻底保护系统账户,你需要双重防护:

✅ 防护策略 1:禁止普通用户操作mysql表

即使用户有 ALL PRIVILEGES ON *.*,也可以通过 Partial Revoke(部分撤销) 剥夺其对 mysql 库的操作权。

示例:创建一个“全能但安全”的普通管理员 u1

-- 1. 创建用户
CREATE USER u1 IDENTIFIED BY 'password';

-- 2. 授予全局所有权限(包含 SYSTEM_USER)
GRANT ALL ON *.* TO u1 WITH GRANT OPTION;

-- 3. 撤销 SYSTEM_USER —— 让 u1 成为普通用户
REVOKE SYSTEM_USER ON *.* FROM u1;

-- 4. 撤销对 mysql 系统库的所有修改权限
--    防止他直接 INSERT/UPDATE mysql.user 来绕过限制
REVOKE ALL ON mysql.* FROM u1;

✅ 结果:

更精细的权限控制示例:

示例 1:只允许读mysql表(用于监控)

CREATE USER monitor IDENTIFIED BY 'pass';
GRANT SELECT, INSERT, UPDATE, DELETE ON *.* TO monitor;
REVOKE INSERT, UPDATE, DELETE ON mysql.* FROM monitor;
-- monitor 可以读 mysql.user、mysql.db 查用户信息,但不能改

示例 2:只允许看特定字段

CREATE USER auditor IDENTIFIED BY 'pass';
GRANT ALL ON *.* TO auditor;
REVOKE ALL ON mysql.* FROM auditor;
GRANT SELECT ON mysql.db TO auditor;
GRANT SELECT (Host, User) ON mysql.user TO auditor;
-- 只能查看 user 表的 Host 和 User 字段

六、常见问题解答(FAQ)

❓ Q1:SYSTEM_USER和SUPER有什么区别?

特性SYSTEM_USERSUPER(已弃用)
功能控制是否能操作“系统用户”旧时代的万能权限,几乎无所不能
精细度更细粒度,专用于账户管理隔离太粗放,容易造成权限泛滥
推荐✅ 推荐使用⚠️ 已标记为 deprecated,未来会被移除

💡 SUPER 正在被拆解成多个专用权限(如 CONNECTION_ADMIN, SYSTEM_USER, SET_USER_ID 等),这是 MySQL 权限体系现代化的一部分。

❓ Q2: root 用户是系统用户吗?

✅ 是的!默认的 root@localhost 在 MySQL 8.0+ 中会被自动赋予 SYSTEM_USER 权限,属于系统用户。

❓ Q3: 我怎么查看某个用户有没有SYSTEM_USER权限?

-- 查看用户权限
SHOW GRANTS FOR 'username'@'host';

-- 或查询 mysql.user 表
SELECT User, Host, System_user FROM mysql.user WHERE User = 'root';

注意:字段名是 System_user(在 mysql.user 表中),值为 'Y''N'

七、总结:一句话理解

🔐 SYSTEM_USER 权限是一个“守门员”,它决定了一个用户是否有资格去管理和影响那些“更高权限的系统账户”(如 root),从而实现了权限的层级隔离,提升了数据库的安全性。

🛡️ 实际建议(给 DBA 的最佳实践)

  1. 只给真正需要的 DBA 分配 SYSTEM_USER 权限
  2. 普通运维人员、应用管理员应设为“普通用户”
  3. 使用 Partial Revoke 禁止普通用户访问 mysql 系统库
  4. 避免使用 SUPER,改用细粒度权限(如 CONNECTION_ADMIN, SYSTEM_USER)
  5. 定期审计谁有 SYSTEM_USER 权限

如果你是数据库管理员,这个机制就像是给你的“保险箱”加了一把锁:
🔑 普通员工可以处理日常事务,但动不了保险箱(root 账号);
🔐 只有拿着特定钥匙(SYSTEM_USER)的人才能打开。

这样,即使有人拿到管理员账号,也无法轻易破坏核心系统。

如有具体场景(比如你想创建一个“受限管理员”),我可以帮你写具体的 SQL 示例。

到此这篇关于MySQL用户账户分类的使用的文章就介绍到这了,更多相关MySQL用户账户分类内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:
阅读全文