MYSQL數據庫管理之權限管理
編輯作者:Alinx qq群:578549158
目錄
概述... 1
一、MYSQL權限簡介... 1
1.MYSQL到底都有哪些權限呢?從官網復制一個表來看看:... 2
2.MYSQL的權限如何分布,就是針對表可以設置什么權限,針對列可以設置什么權限等等,這個可以從官方文檔中的一個表來說明:... 4
二、MYSQL權限經驗原則... 4
三、MYSQL權限實戰... 5
1. GRANT命令使用說明... 5
2. 創建一個超級用戶... 6
3. 創建一個網站用戶(程序用戶). 7
4. 創建一個普通用戶(僅有查詢權限). 7
5. 刷新權限... 7
6. 查看權限... 7
7. 回收權限... 8
8. 刪除用戶... 8
概述
工作中經常遇到mysql權限不會搞或者在QQ群或者論壇上問關於mysql權限的問題,今天抽空總結一下關於這斷時間使用MYSQL的時候關於MYSQL數據庫的權限管理的經驗,也希望能對使用mysql的網友有所幫助!
一、MYSQL權限簡介
關於mysql的權限簡單的理解就是mysql允許你做你權利以內的事情,不可以越界。比如只允許你執行select操作,那么你就不能執行update操作。只允許你從某台機器上連接mysql,那么你就不能從除那台機器以外的其他機器連接mysql。
那么MYSQL的權限是如何實現的呢?這就要說到mysql的兩階段的驗證,下面詳細來介紹:第一階段:服務器首先會檢查你是否允許連接。因為創建用戶的時候會加上主機限制,可以限制成本地、某個IP、某個IP段、以及任何地方等,只允許你從配置的指定地方登錄。后面在實戰的時候會詳細說關於主機的限制。第二階段:如果你能連接,MYSQL會檢查你發出的每個請求,看你是否有足夠的權限實施它。比如你要更新某個表、或者查詢某個表,MYSQL會檢查你對哪個表或者某個列是否有權限。再比如,你要運行某個存儲過程,MYSQL會檢查你對存儲過程是否有執行權限等。
1.MYSQL到底都有哪些權限呢?從官網復制一個表來看看:
| 權限 |
權限級別 |
權限說明 |
| CREATE |
數據庫、表或索引 |
創建數據庫、表或索引權限 |
| DROP |
數據庫或表 |
刪除數據庫或表權限 |
| GRANT OPTION |
數據庫、表或保存的程序 |
賦予權限選項 |
| REFERENCES |
數據庫或表 |
|
| ALTER |
表 |
更改表,比如添加字段、索引等 |
| DELETE |
表 |
刪除數據權限 |
| INDEX |
表 |
索引權限 |
| INSERT |
表 |
插入權限 |
| SELECT |
表 |
查詢權限 |
| UPDATE |
表 |
更新權限 |
| CREATE VIEW |
視圖 |
創建視圖權限 |
| SHOW VIEW |
視圖 |
查看視圖權限 |
| ALTER ROUTINE |
存儲過程 |
更改存儲過程權限 |
| CREATE ROUTINE |
存儲過程 |
創建存儲過程權限 |
| EXECUTE |
存儲過程 |
執行存儲過程權限 |
| FILE |
服務器主機上的文件訪問 |
文件訪問權限 |
| CREATE TEMPORARY TABLES |
服務器管理 |
創建臨時表權限 |
| LOCK TABLES |
服務器管理 |
鎖表權限 |
| CREATE USER |
服務器管理 |
創建用戶權限 |
| PROCESS |
服務器管理 |
查看進程權限 |
| RELOAD |
服務器管理 |
執行flush-hosts, flush-logs, flush-privileges, flush-status, flush-tables, flush-threads, refresh, reload等命令的權限 |
| REPLICATION CLIENT |
服務器管理 |
復制權限 |
| REPLICATION SLAVE |
服務器管理 |
復制權限 |
| SHOW DATABASES |
服務器管理 |
查看數據庫權限 |
| SHUTDOWN |
服務器管理 |
關閉數據庫權限 |
| SUPER |
服務器管理 |
執行kill線程權限 |
2.MYSQL的權限如何分布,就是針對表可以設置什么權限,針對列可以設置什么權限等等,這個可以從官方文檔中的一個表來說明:
| 權限分布 |
可能的設置的權限 |
| 表權限 |
'Select', 'Insert', 'Update', 'Delete', 'Create', 'Drop', 'Grant', 'References', 'Index', 'Alter' |
| 列權限 |
'Select', 'Insert', 'Update', 'References' |
| 過程權限 |
'Execute', 'Alter Routine', 'Grant' |
針對權限這部分,最主要的是要知道MYSQL是如何驗證的(兩階段驗證),以及mysql各個權限是做什么用的,以及那些權限用在什么地方(表or列?)。如果這些把握了那么MYSQL權限對你來說就是小菜一碟了,只要看一下后面的權限管理就可以融會貫通了。
二、MYSQL權限經驗原則
權限控制主要是出於安全因素,因此需要遵循一下幾個經驗原則:
1. 只授予能滿足需要的最小權限,防止用戶干壞事。哈哈。比如用戶只是需要查詢,那就只給select權限就可以了,不要給用戶賦予update、insert或者delete權限。
2. 創建用戶的時候限制用戶的登錄主機,一般是限制成指定IP或者內網IP段。
3. 初始化數據庫的時候刪除沒有密碼的用戶。安裝完數據庫的時候會自動創建一些用戶,這些用戶默認沒有密碼。
4. 為每個用戶設置滿足密碼復雜度的密碼。
5. 定期清理不需要的用戶。回收權限或者刪除用戶。
三、MYSQL權限實戰
1. GRANT命令使用說明
先來看一個例子,創建一個只允許從本地登錄的超級用戶feihong,並允許將權限賦予別的用戶,密碼為test@feihong.111
GRANT ALL PRIVILEGES ON *.* TO feihong@'localhost' IDENTIFIED BY 'test@feihong.111' WITH GRANT OPTION;
GRANT命令說明:
ALL PRIVILEGES 是表示所有權限,你也可以使用select、update等權限提到的權限。
ON 用來指定權限針對哪些庫和表。
*.* 中前面的*號用來指定數據庫名,后面的*號用來指定表名。
TO 表示將權限賦予某個用戶。
feihong@'localhost' 表示feihong用戶,@后面接限制的主機,可以是IP、IP段、域名以及%,%表示任何地方。注意:這里%有的版本不包括本地,以前碰到過給某個用戶設置了%允許任何地方登錄,但是在本地登錄不了,這個和版本有關系,遇到這個問題再加一個localhost的用戶就可以了。
IDENTIFIED BY 指定用戶的登錄密碼。
WITH GRANT OPTION 這個選項表示該用戶可以將自己擁有的權限授權給別人。注意:經常有人在創建操作用戶的時候不指定WITH GRANT OPTION選項導致后來該用戶不能使用GRANT命令創建用戶或者給其他用戶授權。
備注:可以使用GRANT重復給用戶添加權限,權限疊加,比如你先給用戶添加了一個select權限,然后又給用戶添加了一個insert權限,那么該用戶就同時擁有了select和insert權限。
2. 創建一個超級用戶
創建一個只允許從本地登錄的超級用戶feihong,並允許將權限賦予別的用戶,密碼為test@feihong.111
GRANT ALL PRIVILEGES ON *.* TO feihong@'localhost' IDENTIFIED BY 'test@feihong.111' WITH GRANT OPTION;
3. 創建一個網站用戶(程序用戶)
創建一個一般的程序用戶,這個用戶可能只需要SELECT, INSERT, UPDATE, DELETE, CREATE TEMPORARY TABLES等權限如果有存儲過程還需要加上EXECUTE權限,一般是指定內網網段192.168.100網段。
GRANT USAGE,SELECT, INSERT, UPDATE, DELETE, SHOW VIEW ,CREATE TEMPORARY TABLES,EXECUTE ON `test`.* TO webuser@'192.168.100.%' IDENTIFIED BY 'test@feihong.111';
4. 創建一個普通用戶(僅有查詢權限)
GRANT USAGE,SELECT ON `test`.* TO public@'192.168.100.%' IDENTIFIED BY 'public@feihong.111';
5. 刷新權限
使用這個命令使權限生效,尤其是你對那些權限表user、db、host等做了update或者delete更新的時候。以前遇到過使用grant后權限沒有更新的情況,大家可以養成習慣,只要對權限做了更改就使用FLUSH PRIVILEGES命令來刷新權限。
FLUSH PRIVILEGES;
6. 查看權限
使用如下命令可以方便的查看到某個用戶的權限:
SHOW GRANTS FOR 'webuser'@'192.168.100.%';
7. 回收權限
將前面創建的webuser用戶的DELETE權限回收,使用如下命令
REVOKE DELETE ON test.* FROM 'webuser'@'192.168.100.%';
8. 刪除用戶
注意刪除用戶不要使用DELETE直接刪除,因為使用DELETE刪除后用戶的權限並未刪除,新建同名用戶后又會繼承以前的權限。正確的做法是使用DROP USER命令刪除用戶,比如要刪除'webuser'@'192.168.100.%'用戶采用如下命令:
DROP USER 'webuser'@'192.168.100.%';
大家可以采用percona-toolkit工具中的pt-show-grants工具來輔助管理mysql權限