GRANT Select ON *.* TO reader@192.168.1.123 IDENTIFIED BY "123456"
GRANT 可以立刻生效
在mysql 5.6下似乎要重啟mysql才生效
建立了一個賬戶名為“reader" , 密碼”123456“ 只可以從192.168.1.123發起訪問 讀取資料庫的賬號
reader@"%" 則表示所有的ip都可以訪問
參考:
http://linux.chinaitlab.com/MYSQL/919856.html
http://linux.chinaitlab.com/MYSQL/919856_2.html
一.許可權檢視
mysql> show grants for ‘root’@'localhost’ ;
+——————————————————————————-+
| Grants for root@localhost |
+——————————————————————————-+
| GRANT ALL PRIVILEGES ON *.* TO ‘root’@'localhost’ WITH GRANT OPTION |
+——————————————————————————-+
二.許可權設定
1.建立賬號或者賦予許可權
GRANT privileges (columns) ON what TO user IDENTIFIED BY "password" WITH GRANT OPTION
GRANT語句的語法看上去像這樣:
GRANT privileges (columns) ON what TO user IDENTIFIED BY "password" WITH GRANT OPTION
要使用該語句,你需要填寫下列部分:
privileges 授予使用者的許可權,下表列出可用於GRANT語句的許可權指定符:
許可權指定符 許可權允許的操作
Alter 修改表和索引
Create 建立資料庫和表
Delete 刪除表中已有的記錄
Drop 拋棄(刪除)資料庫和表
INDEX 建立或拋棄索引
Insert 向表中插入新行
REFERENCE 未用
Select 檢索表中的記錄
Update 修改現存表記錄
FILE 讀或寫伺服器上的檔案
PROCESS 檢視伺服器中執行的執行緒資訊或殺死執行緒
RELOAD 過載授權表或清空日誌、主機快取或表快取。
SHUTDOWN 關閉伺服器
ALL 所有;ALL PRIVILEGES同義詞
USAGE 特殊的“無許可權”許可權
上表顯示在第一組的許可權指定符適用於資料庫、表和列,第二組數管理許可權。一般,這些被相對嚴格地授權,因為它們允許使用者影響伺服器的操作。第三組許可權特殊,ALL意味著“所有許可權”,UASGE意味著無許可權,即建立使用者,但不授予許可權。
columns 許可權運用的列,它是可選的,並且你只能設定列特定的許可權。如果命令有多於一個列,應該用逗號分開它們。
what 許可權運用的級別。許可權可以是全域性的(適用於所有資料庫和所有表)、特定資料庫(適用於一個資料庫中的所有表)或特定表的。可以通過指定一個columns字句是許可權是列特定的。
user 許可權授予的使用者,它由一個使用者名稱和主機名組成。在MySQL中,你不僅指定誰能連線,還有從哪裡連線。這允許你讓兩個同名使用者從不同地方連線。 MySQL讓你區分他們,並彼此獨立地賦予許可權。MySQL中的一個使用者名稱就是你連線伺服器時指定的使用者名稱,該名字不必與你的Unix登入名或 Windows名聯絡起來。預設地,如果你不明確指定一個名字,客戶程式將使用你的登入名作為MySQL使用者名稱。這只是一個約定。你可以在授權表中將該名 字改為nobody,然後以nobody連線執行需要超級使用者許可權的操作。
password 賦予使用者的口令,它是可選的。如果你對新使用者沒有指定IDENTIFIED BY子句,該使用者不賦給口令(不安全)。對現有使用者,任何你指定的口令將代替老口令。如果你不指定口令,老口令保持不變,當你用IDENTIFIED BY時,口令字串用改用口令的字面含義,GRANT將為你編碼口令,不要你用SET PASSWORD 那樣使用password()函式。
WITH GRANT OPTION子句是可選的。如果你包含它,使用者可以授予許可權通過GRANT語句授權給其它使用者。你可以用該子句給與其它使用者授權的能力。
注意:使用者名稱、口令、資料庫和表名在授權表記錄中是大小寫敏感的,主機名和列名不是。
一般地,你可以通過詢問幾個簡單的問題來識別GRANT語句的種類:
誰能連線,從那兒連線?
使用者應該有什麼級別的許可權,他們適用於什麼?
使用者應該允許管理許可權嗎?
下面就討論一些例子。
1.1 誰能連線,從那兒連線?
你可以允許一個使用者從特定的或一系列主機連線。有一個極端,如果你知道降職從一個主機連線,你可以將許可權侷限於單個主機:
GRANT ALL ON samp_db.* TO boris@localhost IDENTIFIED BY "ruby"
GRANT ALL ON samp_db.* TO fred@res.mars.com IDENTIFIED BY "quartz"
(samp_db.*意思是“samp_db資料庫的所有表)另一個極端是,你可能有一個經常旅行並需要能從世界各地的主機連線的使用者max。在這種情況下,你可以允許他無論從哪裡連線:
GRANT ALL ON samp_db.* TO max@% IDENTIFIED BY "diamond"
“%”字元起萬用字元作用,與LIKE模式匹配的含義相同。在上述語句中,它意味著“任何主機”。所以max和max@%等價。這是建立使用者最簡單的方法,但也是最不安全的。
其中,你可以允許一個使用者從一個受限的主機集合訪問。例如,要允許mary從snake.net域的任何主機連線,用一個%.snake.net主機指定符:
GRANT ALL ON samp_db.* TO mary@.snake.net IDENTIFIED BY "quartz";
如果你喜歡,使用者識別符號的主機部分可以用IP地址而不是一個主機名來給定。你可以指定一個IP地址或一個包含模式字元的地址,而且,從MySQL 3.23,你還可以指定具有指出用於網路號的位數的網路掩碼的IP號:
GRANT ALL ON samp_db.* TO boris@192.168.128.3 IDENTIFIED BY "ruby"
GRANT ALL ON samp_db.* TO fred@192.168.128.% IDENTIFIED BY "quartz"
GRANT ALL ON samp_db.* TO rex@192.168.128.0/17 IDENTIFIED BY "ruby"
第一個例子指出使用者能從其連線的特定主機,第二個指定對於C類子網192.168.128的IP模式,而第三條語句中,192.168.128.0/17指定一個17位網路號並匹配具有192.168.128頭17位的IP地址。
1.2 使用者應該有什麼級別的許可權和它們應該適用於什麼?
你可以授權不同級別的許可權,全域性許可權是最強大的,因為它們適用於任何資料庫。要使ethel成為可做任何事情的超級使用者,包括能授權給其它使用者,發出下列語句:
GRANT ALL ON *.* TO ethel@localhost IDENTIFIED BY "coffee" WITH GRANT OPTION
ON子句中的*.*意味著“所有資料庫、所有表”。從安全考慮,我們指定ethel只能從本地連線。限制一個超級使用者可以連線的主機通常是明智的,因為它限制了試圖破解口令的主機。
有些許可權(FILE、PROCESS、RELOAD和SHUTDOWN)是管理許可權並且只能用"ON *.*"全域性許可權指定符授權。如果你願意,你可以授權這些許可權,而不授權資料庫許可權。例如,下列語句設定一個flush使用者,他只能發出flush語句。 這可能在你需要執行諸如清空日誌等的管理指令碼中會有用:
GRANT RELOAD ON *.* TO flushl@localhost IDENTIFIED BY "flushpass"
一般地,你想授權管理許可權,吝嗇點,因為擁有它們的使用者可以影響你的伺服器的操作。
資料庫級許可權適用於一個特定資料庫中的所有表,它們可通過使用ON db_name.*子句授予:
GRANT ALL ON samp_db TO bill@racer.snake.net INDETIFIED BY "rock" GRANT Select ON samp_db TO ro_user@% INDETIFIED BY "rock"
第一條語句向bill授權samp_db資料庫中所有表的許可權,第二條建立一個嚴格限制訪問的使用者ro_user(只讀使用者),只能訪問samp_db資料庫中的所有表,但只有讀取,即使用者只能發出Select語句。
你可以列出一系列同時授予的各個許可權。例如,如果你想讓使用者能讀取並能修改現有資料庫的內容,但不能建立新表或刪除表,如下授予這些許可權:
GRANT Select,Insert,Delete,Update ON samp_db TO bill@snake.net INDETIFIED BY "rock"
對於更精緻的訪問控制,你可以在各個表上授權,或甚至在表的每個列上。當你想向使用者隱藏一個表的部分時,或你想讓一個使用者只能修改特定的列時,列特定許可權非常有用。如:
GRANT Select ON samp_db.member TO bill@localhost INDETIFIED BY "rock"
GRANT Update (expiration) ON samp_db. member TO bill@localhost
第一條語句授予對整個member表的讀許可權並設定了一個口令,第二條語句增加了Update許可權,當只對expiration列。沒必要再指定口令,因為第一條語句已經指定了。
如果你想對多個列授予許可權,指定一個用逗號分開的列表。例如,對assistant使用者增加member表的地址欄位的Update許可權,使用如下語句,新許可權將加到使用者已有的許可權中:
GRANT Update (street,city,state,zip) ON samp_db TO assistant@localhost
1.3 使用者應該被允許管理許可權嗎?
你可以允許一個資料庫的擁有者通過授予資料庫上的所有擁有者許可權來控制資料庫的訪問,在授權時,指定WITH GRANT OPTION。例如:如果你想讓alicia能從big.corp.com域的任何主機連線並具有sales資料庫中所有表的管理員許可權,你可以用如下 GRANT語句:
GRANT ALL ON sales.* TO alicia@%.big.corp.com INDETIFIED BY "applejuice" WITH GRANT OPTION
在效果上WITH GRANT OPTION子句允許你把訪問授權的權利授予另一個使用者。要注意,擁有GRANT許可權的兩個使用者可以彼此授權。如果你只給予了第一個使用者Select權 限,而另一個使用者有GRANT加上Select許可權,那麼第二個使用者可以是第一個使用者更“強大”。
常見語句:
常見賬號,並賦予許可權
GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP ON db1.* TO 'linpp'@'192.168.40.111'IDENTIFIED BY 'qq';
進一步賦予許可權
GRANT SELECT ON db2.* TO 'linpp'@'192.168.40.111';
2.撤權並刪除使用者
要取消一個使用者的許可權,使用REVOKE語句。REVOKE的語法非常類似於GRANT語句,除了TO用FROM取代並且沒有INDETIFED BY和WITH GRANT OPTION子句:
REVOKE privileges (columns) ON what FROM user
user部分必須匹配原來GRANT語句的你想撤權的使用者的user部分。privileges部分不需匹配,你可以用GRANT語句授權,然後用REVOKE語句只撤銷部分許可權。
REVOKE語句只刪除許可權,而不刪除使用者。即使你撤銷了所有許可權,在user表中的使用者記錄依然保留,這意味著使用者仍然可以連線伺服器。要完全刪除一個使用者,你必須用一條Delete語句明確從user表中刪除使用者記錄:
%mysql -u root mysqlmysql>Delete FROM user ->Where User="user_name" and Host="host_name";mysql>FLUSH PRIVILEGES;
從ip為 * 以後限制ip 可先刪除賬號,在構建有ip限制的使用者,使用者許可權不會改變,或者直接修改user表的host
Delete語句刪除使用者記錄,而FLUSH語句告訴伺服器過載授權表。(當你使用GRANT和REVOKE語句時,表自動過載,而你直接修改授權表時不是。)
常見語句:
REVOKE UPDATE ON db1.* FROM 'linpp'@'192.168.40.111';
三.mysql 修改密碼
use mysql
update user set password=password('你的密碼') where User='root';
flush privileges;
四.涉及到賬號和許可權的表
User
每一行就是一個使用者賬號以及使用者的全部許可權
Db
每一行包含了某些使用者在資料庫級許可權
Host
每一行包含了使用者從指定主機登陸過來時它在一個資料庫裡的所有許可權,這個條目會與db表裡的條目合併起來使用。雖然它是作為授權表羅列出來的,但是你無法使用grant,revoke等命令修改這個主機表,你只能手動新增和刪除其中的條目。
建議你不要動這張表。
Tables_priv
每一行寶航了指定使用者和表的表級別上的許可權,也包括了檢視和許可權在內。
Columms_priv
每一行指定了使用者和列的列的級別上的許可權。
Procs_priv
每一行包含了指定使用者和儲存程式的許可權。