Mysql系列第三講 管理員必備技能(必須掌握)
Mysql許可權工作原理
mysql是如何來識別一個使用者的呢?
mysql為了安全性考慮,採用主機名+使用者名稱來判斷一個使用者的身份,因為在網際網路中很難透過使用者名稱來判斷一個使用者的身份,但是我們可以透過ip或者主機名判斷一臺機器,某個使用者透過這個機器過來的,我們可以識別為一個使用者,所以mysql中採用使用者名稱+主機名來識別使用者的身份。當一個使用者對mysql傳送指令的時候,mysql就是透過使用者名稱和來源(主機)來斷定使用者的許可權。
Mysql許可權驗證分為2個階段:
-
階段1:連線資料庫,此時mysql會根據你的使用者名稱及你的來源(ip或者主機名稱)判斷是否有許可權連線
-
階段2:對mysql伺服器發起請求操作,如create table、select、delete、update、create index等操作,此時mysql會判斷你是否有許可權操作這些指令
許可權生效時間
使用者及許可權資訊放在庫名為mysql的庫中,mysql啟動時,這些內容被讀進記憶體並且從此時生效,所以如果透過直接操作這些表來修改使用者及許可權資訊的,需要重啟mysql或者執行flush privileges;才可以生效。
使用者登入之後,mysql會和當前使用者之間建立一個連線,此時使用者相關的許可權資訊都儲存在這個連線中,存放在記憶體中,此時如果有其他地方修改了當前使用者的許可權,這些變更的許可權會在下一次登入時才會生效。
檢視mysql中所有使用者
使用者資訊在mysql.user表中,如下:
建立使用者
語法:
說明:
-
主機名預設值為%,表示這個使用者可以從任何主機連線mysql伺服器
-
密碼可以省略,表示無密碼登入
示例1:不指定主機名
不指定主機名時,表示這個使用者可以從任何主機連線mysql伺服器
上面建立了使用者名稱為test1無密碼的使用者,沒有指定主機,可以看出host的預設值為%,表示test1可以從任何機器登入到mysql中。
使用者建立之後可以在mysql庫中透過 select user,host from user;檢視到。
其他示例
說明:test2的主機為localhost表示本機,此使用者只能登陸本機的mysql
說明:test3可以從任何機器連線到mysql伺服器
說明:test4可以從192.168.11段的機器連線mysql
修改密碼【3種方式】
方式1:透過管理員修改密碼
方式2:create user 使用者名稱[@主機名] [identified by ‘密碼’];
方式3:透過修改mysql.user表修改密碼
注意:
透過表的方式修改之後,需要執行flush privileges;才能對使用者生效。
5.7中user表中的authentication_string欄位表示密碼,老的一些版本中密碼欄位是password。
給使用者授權
建立使用者之後,需要給使用者授權,才有意義。
語法:
grant命令說明:
-
priveleges (許可權列表),可以是all,表示所有許可權,也可以是select、update等許可權,多個許可權之間用逗號分開。
-
ON 用來指定許可權針對哪些庫和表,格式為資料庫.表名 ,點號前面用來指定資料庫名,點號後面用來指定表名,. 表示所有資料庫所有表。
-
TO 表示將許可權賦予某個使用者, 格式為username@host,@前面為使用者名稱,@後面接限制的主機,可以是IP、IP段、域名以及%,%表示任何地方。
-
WITH GRANT OPTION 這個選項表示該使用者可以將自己擁有的許可權授權給別人。注意:經常有人在建立操作使用者的時候不指定WITH GRANT OPTION選項導致後來該使用者不能使用GRANT命令建立使用者或者給其它使用者授權。
備註:可以使用GRANT重複給使用者新增許可權,許可權疊加,比如你先給使用者新增一個select許可權,然後又給使用者新增一個insert許可權,那麼該使用者就同時擁有了select和insert許可權。
示例:
說明:給test1授權可以操作所有庫所有許可權,相當於dba
說明:test1可以對seata庫中所有的表執行select
說明:test1可以對seata庫中所有的表執行select、update
說明:test1使用者只能查詢mysql.user表的user,host欄位
檢視使用者有哪些許可權
show grants for ‘使用者名稱’[@‘主機’]
主機可以省略,預設值為%,示例:
show grants;
檢視當前使用者的許可權,如:
撤銷使用者的許可權
語法
可以先透過show grants命令查詢一下使用者對於的許可權,然後使用revoke命令撤銷使用者對應的許可權,示例:
上面我們先透過grants命令檢視test1的許可權,然後呼叫revoke命令撤銷對mysql.user表host欄位的查詢許可權,最後又透過grants命令檢視了test1的許可權,和預期結果一致。
刪除使用者【2種方式】
方式1:
drop user ‘使用者名稱’[@‘主機’],示例:
drop的方式刪除使用者之後,使用者下次登入就會起效。
方式2:
透過刪除mysql.user表資料的方式刪除,如下:
注意透過表的方式刪除的,需要呼叫flush privileges;重新整理許可權資訊(許可權啟動的時候在記憶體中儲存著,透過表的方式修改之後需要重新整理一下)。
授權原則說明
-
只授予能滿足需要的最小許可權,防止使用者幹壞事,比如使用者只是需要查詢,那就只給select許可權就可以了,不要給使用者賦予update、insert或者delete許可權
-
建立使用者的時候限制使用者的登入主機,一般是限制成指定IP或者內網IP段
-
初始化資料庫的時候刪除沒有密碼的使用者,安裝完資料庫的時候會自動建立一些使用者,這些使用者預設沒有密碼
-
為每個使用者設定滿足密碼複雜度的密碼
-
定期清理不需要的使用者,回收許可權或者刪除使用者
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/30239065/viewspace-2724276/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 2017.3.14java方向必備技能掌握Java
- 掌握運維必備技能--問題故障定位運維
- 2020年必須掌握的硬核技能k8sK8S
- Hacker必備技能
- 小白學Web前端必須掌握的4項基礎技能!Web前端
- 大資料系統管理必備技能大資料
- 學習Python必須具備的五大技能!Python
- Git中~你必須掌握的!Git
- 優秀的DevOps工程師必須具備的軟技能dev工程師
- 想進阿里P7,你必須掌握這些技能專題阿里
- 優秀前端開發工程師必須掌握的七大技能前端工程師
- 前端切圖必備技能前端
- Mysql系列第十二講 子查詢(非常重要,高手必備)MySql
- 域名查詢:域名管理者的必備技能
- 必須要掌握的重要目錄
- 必須掌握的10個Linux命令!Linux
- 前端必須掌握的知識點前端
- CSS中那些必須掌握的概念CSS
- 學習Linux必須掌握的命令!Linux
- 老司機也必須掌握的MySQL最佳化指南MySql
- web前端工程師必備技能Web前端工程師
- 想從事資料行業?你必須掌握這個最核心的技能行業
- JAVA程式設計師“黃金5年”必須要掌握的知識技能Java程式設計師
- Java檔案操作必備技能,10個小技巧讓你快速掌握!Java
- Android 之 Notification 必須掌握知識點Android
- 必須掌握的Linux使用者組Linux
- 技術人必須掌握能力——深度思考
- Java必須掌握的Spring常用註解JavaSpring
- Java程式設計師必須掌握的Spring依賴管理原理Java程式設計師Spring
- 優秀的Java開發人員必備的6個技能!Java
- 精簡的言語講述技術人,必須掌握基礎性IT知識技能,第一篇
- 必須懂的mysql知識MySql
- Java程式設計師必備技能Java程式設計師
- C#必備技能—專案打包C#
- 開發網站的必備技能網站
- 架構必備技能第一談架構
- Linux面試題-磁碟管理體系有哪些必備技能?Linux面試題
- Java開發需要掌握哪些技術?Java程式設計師必備技能Java程式設計師