經常遇到有網友在QQ群或者論壇上問關于mysql權限的問題,今天抽空總結一下關于這幾年使用MYSQL的時候關于MYSQL數據庫的權限管理的經驗,也希望能對使用mysql的網友有所幫助!
一、MYSQL權限簡介
關于mysql的權限簡單的理解就是mysql允許你做你權利以內的事情,不可以越界。比如只允許你執行select操作,那么你就不能執行update操作。只允許你從某臺機器上連接mysql,那么你就不能從除那臺機器以外的其他機器連接mysql。
那么MYSQL的權限是如何實現的呢?這就要說到mysql的兩階段的驗證,下面詳細來介紹:第一階段:服務器首先會檢查你是否允許連接。因為創建用戶的時候會加上主機限制,可以限制成本地、某個IP、某個IP段、以及任何地方等,只允許你從配置的指定地方登錄。后面在實戰的時候會詳細說關于主機的限制。第二階段:如果你能連接,MYSQL會檢查你發出的每個請求,看你是否有足夠的權限實施它。比如你要更新某個表、或者查詢某個表,MYSQL會檢查你對哪個表或者某個列是否有權限。再比如,你要運行某個存儲過程,MYSQL會檢查你對存儲過程是否有執行權限等。
MYSQL到底都有哪些權限呢?從官網復制一個表來看看:
權限 | 權限級別 | 權限說明 |
CREATE | 數據庫、表或索引 | 創建數據庫、表或索引權限 |
DROP | 數據庫或表 | 刪除數據庫或表權限 |
GRANT OPTION | 數據庫、表或保存的程序 | 賦予權限選項 |
REFERENCES | 數據庫或表 | |
ALTER | 表 | 更改表,比如添加字段、索引等 |
DELETE | 表 | 刪除數據權限 |
INDEX | 表 | 索引權限 |
INSERT | 表 | 插入權限 |
SELECT | 表 | 查詢權限 |
UPDATE | 表 | 更新權限 |
CREATE VIEW | 視圖 | 創建視圖權限 |
SHOW VIEW | 視圖 | 查看視圖權限 |
ALTER ROUTINE | 存儲過程 | 更改存儲過程權限 |
CREATE ROUTINE | 存儲過程 | 創建存儲過程權限 |
EXECUTE | 存儲過程 | 執行存儲過程權限 |
FILE | 服務器主機上的文件訪問 | 文件訪問權限 |
CREATE TEMPORARY TABLES | 服務器管理 | 創建臨時表權限 |
LOCK TABLES | 服務器管理 | 鎖表權限 |
CREATE USER | 服務器管理 | 創建用戶權限 |
PROCESS | 服務器管理 | 查看進程權限 |
RELOAD | 服務器管理 | 執行flush-hosts, flush-logs, flush-privileges, flush-status, flush-tables, flush-threads, refresh, reload等命令的權限 |
REPLICATION CLIENT | 服務器管理 | 復制權限 |
REPLICATION SLAVE | 服務器管理 | 復制權限 |
SHOW DATABASES | 服務器管理 | 查看數據庫權限 |
SHUTDOWN | 服務器管理 | 關閉數據庫權限 |
SUPER | 服務器管理 | 執行kill線程權限 |
MYSQL的權限如何分布,就是針對表可以設置什么權限,針對列可以設置什么權限等等,這個可以從官方文檔中的一個表來說明:
權限分布 | 可能的設置的權限 |
表權限 | 'Select', 'Insert', 'Update', 'Delete', 'Create', 'Drop', 'Grant', 'References', 'Index', 'Alter' |
列權限 | 'Select', 'Insert', 'Update', 'References' |
過程權限 | 'Execute', 'Alter Routine', 'Grant' |
針對權限這部分,最主要的是要知道MYSQL是如何驗證的(兩階段驗證),以及mysql各個權限是做什么用的,以及那些權限用在什么地方(表or列?)。如果這些把握了那么MYSQL權限對你來說就是小菜一碟了,只要看一下后面的權限管理就可以融會貫通了。
二、MYSQL權限經驗原則
權限控制主要是出于安全因素,因此需要遵循一下幾個經驗原則:
1. 只授予能滿足需要的最小權限,防止用戶干壞事。哈哈。比如用戶只是需要查詢,那就只給select權限就可以了,不要給用戶賦予update、insert或者delete權限。
2. 創建用戶的時候限制用戶的登錄主機,一般是限制成指定IP或者內網IP段。
3. 初始化數據庫的時候刪除沒有密碼的用戶。安裝完數據庫的時候會自動創建一些用戶,這些用戶默認沒有密碼。
4. 為每個用戶設置滿足密碼復雜度的密碼。
5. 定期清理不需要的用戶。回收權限或者刪除用戶。
三、MYSQL權限實戰
1. GRANT命令使用說明
先來看一個例子,創建一個只允許從本地登錄的超級用戶feihong,并允許將權限賦予別的用戶,密碼為test@feihong.111
GRANT ALL PRIVILEGES ON *.* TO feihong@'localhost' IDENTIFIED BY 'test@feihong.111' WITH GRANT OPTION;
GRANT命令說明:
ALL PRIVILEGES 是表示所有權限,你也可以使用select、update等權限提到的權限。
ON 用來指定權限針對哪些庫和表。
*.* 中前面的*號用來指定數據庫名,后面的*號用來指定表名。
TO 表示將權限賦予某個用戶。
feihong@'localhost' 表示feihong用戶,@后面接限制的主機,可以是IP、IP段、域名以及%,%表示任何地方。注意:這里%有的版本不包括本地,以前碰到過給某個用戶設置了%允許任何地方登錄,但是在本地登錄不了,這個和版本有關系,遇到這個問題再加一個localhost的用戶就可以了。
IDENTIFIED BY 指定用戶的登錄密碼。
WITH GRANT OPTION 這個選項表示該用戶可以將自己擁有的權限授權給別人。注意:經常有人在創建操作用戶的時候不指定WITH GRANT OPTION選項導致后來該用戶不能使用GRANT命令創建用戶或者給其他用戶授權。
備注:可以使用GRANT重復給用戶添加權限,權限疊加,比如你先給用戶添加了一個select權限,然后又給用戶添加了一個insert權限,那么該用戶就同時擁有了select和insert權限。
2. 創建一個超級用戶
創建一個只允許從本地登錄的超級用戶feihong,并允許將權限賦予別的用戶,密碼為test@feihong.111
GRANT ALL PRIVILEGES ON *.* TO feihong@'localhost' IDENTIFIED BY 'test@feihong.111' WITH GRANT OPTION;
3. 創建一個網站用戶(程序用戶)
創建一個一般的程序用戶,這個用戶可能只需要SELECT, INSERT, UPDATE, DELETE, CREATE TEMPORARY TABLES等權限如果有存儲過程還需要加上EXECUTE權限,一般是指定內網網段192.168.100網段。
GRANT USAGE,SELECT, INSERT, UPDATE, DELETE, SHOW VIEW ,CREATE TEMPORARY TABLES,EXECUTE ON `test`.* TO webuser@'192.168.100.%' IDENTIFIED BY 'test@feihong.111';
4. 創建一個普通用戶(僅有查詢權限)
GRANT USAGE,SELECT ON `test`.* TO public@'192.168.100.%' IDENTIFIED BY 'public@feihong.111';
5. 刷新權限
使用這個命令使權限生效,尤其是你對那些權限表user、db、host等做了update或者delete更新的時候。以前遇到過使用grant后權限沒有更新的情況,大家可以養成習慣,只要對權限做了更改就使用FLUSH PRIVILEGES命令來刷新權限。
6. 查看權限
使用如下命令可以方便的查看到某個用戶的權限:
SHOW GRANTS FOR 'webuser'@'192.168.100.%';
7. 回收權限
將前面創建的webuser用戶的DELETE權限回收,使用如下命令
REVOKE DELETE ON test.* FROM 'webuser'@'192.168.100.%';
8. 刪除用戶
注意刪除用戶不要使用DELETE直接刪除,因為使用DELETE刪除后用戶的權限并未刪除,新建同名用戶后又會繼承以前的權限。正確的做法是使用DROP USER命令刪除用戶,比如要刪除'webuser'@'192.168.100.%'用戶采用如下命令:
DROP USER 'webuser'@'192.168.100.%';
大家可以采用percona-toolkit工具中的pt-show-grants工具來輔助管理mysql權限。具體使用見博文http://blog.chinaunix.net/uid-20639775-id-3207926.html
轉自:
http://blog.chinaunix.net/uid-20639775-id-3249105.html