MySQL權限系統

MySQL權 限系統

設置 MySQL 用戶口令的方法有多種：

– CREATE USER...IDENTIFIED BY

– GRANT...IDENTIFIED BY

– SET PASSWORD

– mysqladmin password

– UPDATE 授權表（不推薦）

為所有用戶帳戶分配唯一的強口令。

? 避免可以輕易猜測到的口令。

? 使用以下 SELECT 語句可列出沒有口令的所有帳戶：

SELECT Host, User FROM mysql.user

WHERE Password = '';

? 確定重復口令：

SELECT User FROM mysql.user GROUP BY password

HAVING count(user)>1;

? 讓口令失效：

ALTER USER jim@localhost PASSWORD EXPIRE;

2）  Mysql 支持的權限

3）  允許的主機名格式示例

? 主機名： localhost

? 合格的主機名： 'hostname.example.com'

? IP 編號： 192.168.9.78

? IP 地址： 10.0.0.0/255.255.255.0

? 模式或通配符： % 或 _

用戶名和主機名示例：

? john@10.20.30.40

? john@'10.20.30.%'

? john@'%.ourdomain.com'

? john@'10.20.30.0/255.255.255.0'

4）  GRANT 語句

? GRANT 語句可創建新帳戶或者修改現有帳戶。

? GRANT 語法：

GRANT SELECT ON world_innodb.* TO

'kari'@'localhost' IDENTIFIED BY 'Abc123';

? 該語句的子句：

– 要授予的權限

– 權限級別：

— 全局： *.*

— 數據庫： .*

— 表： .

— 存儲例程： .

– 要授予其權限的帳戶

– 可選口令

5）  權限級別 / 表內容和權限

user 針對服務器已知的每個帳戶包含一個記錄

db 特定于數據庫的權限

tables_priv 特定于表的權限

columns_priv 特定于列的權限

procs_priv 存儲過程和函數權限

6）  撤消帳戶權限

? 使用 REVOKE 語句可以撤消特定的 SQL 語句權限：

REVOKE DELETE, INSERT, UPDATE ON world_innodb.*

FROM 'Amon'@'localhost';

? 撤消權限以便將權限授予其他用戶：

REVOKE GRANT OPTION ON world_innodb.*

FROM 'Jan'@'localhost';

? 撤消所有權限（包括向他人授權）：

REVOKE ALL PRIVILEGES, GRANT OPTION

FROM 'Sasha'@'localhost';

? 在發出 REVOKE 之前使用 SHOW GRANTS 語句確定要

撤消的權限，隨后再次確認結果。

7）  禁用客戶機訪問控制

要指示服務器不讀取授權表并禁用訪問控制，可使用

--skip-grant-tables 選項。

? 每個連接都成功：

– 可以提供任何用戶名及任何口令，并且可以從任何主機連接。

– 該選項將禁用整個權限系統。

– 連接的用戶實際上擁有所有權限。

? 阻止客戶機連接：

– 使用 --skip-networking 選項可阻止網絡訪問，并且僅允許在本地套接字、命名管道或共享內存上訪問。

– 使用 --socket 選項可在非標準套接字上啟動服務器以防止本地應用程序或用戶隨便訪問。

8）  資源限制

通過將全局變量 MAX_USER_CONNECTIONS 設置為非

零值，限制使用服務器資源。

– 這將限制任何一個帳戶的同時連接數量，但不會限制客

戶機在連接后能執行的操作。

? 限制單個帳戶的以下服務器資源：

– MAX_QUERIES_PER_HOUR ：一個帳戶每小時可發出的查詢數量

– MAX_UPDATES_PER_HOUR ：一個帳戶每小時可發出的更新數量

– MAX_CONNECTIONS_PER_HOUR ：一個帳戶每小時可連接到服務器的次數

– MAX_USER_CONNECTIONS ：允許的同時連接數量