MySQL权限
关于MySQL的权限简单的理解就是MySQL允许你做你全力以内的事情,不可以越界。比如只允许你执行select操作,那么你就不能执行update操作。只允许你从某台机器上连接MySQL,那么你就不能从除那台机器以外的其他机器连接MySQL。
那么MySQL的权限是如何实现的呢?这就要说到MySQL的两阶段验证,下面详细介绍:
- 第一阶段:服务器首先会检查你是否允许连接。因为创建用户的时候会加上主机限制,可以限制成本地、某个IP、某个IP段、以及任何地方等,只允许你从配置的指定地方登陆。
- 第二阶段:如果你能连接,MySQL会检查你发出的每个请求,看你是否有足够的权限实施它。比如你要更新某个表、或者查询某个表,Mysql会查看你对哪个表或者某个列是否有权限。再比如,你要运行某个存储过程,MySQL会检查你对存储过程是否有执行权限等。
MySQL到底都有哪些权限呢?从官网复制一个表来看看:
| 权限 | 权限级别 | 权限说明 |
|---|---|---|
| CREATE | 数据库、表或索引 | 创建数据库、表或索引权限 |
| DROP | 数据库或表 | 删除数据库或表权限 |
| GRANT OPTION | 数据库、表或保存的程序 | 赋予权限选项 |
| REFERENCES | 数据库或表 | |
| ALTER | 表 | 更改表,比如添加字段、索引等 |
| DELETE | 表 | 删除数据权限 |
| INDEX | 表 | 索引权限 |
| INSERT | 表 | 插入权限 |
| SELECT | 表 | 查询权限 |
| UPDATE | 表 | 更新权限 |
| CREATE VIEW | 视图 | 创建视图权限 |
| SHOW VIEW | 视图 | 查看视图权限 |
| ALTER ROUTINE | 存储过程 | 更改存储过程权限 |
| CREATE ROUTINE | 存储过程 | 创建存储过程权限 |
| EXECUTE | 存储过程 | 执行存储过程权限 |
| FILE | 服务器主机上的文件访问 | 文件访问权限 |
| CREATE TEMPORARY TABLES | 服务器管理 | 创建临时表权限 |
| LOCK TABLES | 服务器管理 | 锁表权限 |
| CREATE USER | 服务器管理 | 创建用户权限 |
| PROCESS | 服务器管理 | 查看进程权限 |
| RELOAD | 服务器管理 | 执行flush-hosts, flush-logs, flush-privileges, flush-status, flush-tables, flush-threads, refresh, reload等命令的权限 |
| REPLICATION CLIENT | 服务器管理 | 复制权限 |
| REPLICATION SLAVE | 服务器管理 | 复制权限 |
| SHOW DATABASES | 服务器管理 | 查看数据库权限 |
| SHUTDOWN | 服务器管理 | 关闭数据库权限 |
| SUPER | 服务器管理 | 执行kill线程权限 |
Refer to https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html#priv_replication-slave
MySQL 的权限如何分布,就是针对表可以设置什么权限,针对列可以设置什么权限等等,这个可以从官方文档中的一个表来说明:
| 权限分布 | 可能的设置的权限 |
|---|---|
| 表权限 | ‘Select’, ‘Insert’, ‘Update’, ‘Delete’, ‘Create’, ‘Drop’, ‘Grant’, ‘References’, ‘Index’, ‘Alter’ |
| 列权限 | ‘Select’, ‘Insert’, ‘Update’, ‘References’ |
| 过程权限 | ‘Execute’, ‘Alter Routine’, ‘Grant’ |
MySQL权限经验原则
权限控制主要是出于安全因素,因此需要遵循一下几个经验原则:
- 只授予能满足需要的最小权限,防止用户干坏事。比如用户只是需要查询,那就只给select权限就可以了,不要给用户赋予update、insert或者delete权限。
- 创建用户的时候限制用户的登录主机,一般是限制成指定IP或者内网IP段。
- 初始化数据库的时候删除没有密码的用户。安装完数据库的时候会自动创建一些用户,这些用户默认没有密码。
- 为每个用户设置满足密码复杂度的密码。
- 定期清理不需要的用户。回收权限或者删除用户。
用户管理
添加用户
CREATE USER username@% IDENTIFIED BY 'password';
CREATE USER 'sw_replica_user'@'%' IDENTIFIED WITH mysql_native_password BY '123456';
Refer to https://dev.mysql.com/doc/refman/8.0/en/create-user.html
删除用户
delete from mysql.user where user=“用户名” and host="localhost";
查看用户
显示所有用户和对应可以使用该用户进行登录的IP
select host, user from mysql.user;
显示当前用户
select user();
用户权限管理
查看权限
查看当前用户权限
show grants;
查看某个用户权限
show grants for jack@localhost;
查看某个用户的权限
show grants for 'jack'@'%';
为用户分配库权限
grant <可执行的操作行为> on <DB name>.<table name> to <用户名>@<允许执行的IP/host> [identified by <密码>] with grant option;
- 可执行的操作行为是一个枚举值,包括
ALL PRIVILEGES(表示所有权限)、select、update、insert、delete等等 - **<DB name>.<table name>**表示允许执行的表,如
*.*第一个*表示所有的数据库,第二个*表示这些库中的所有表 - 用户名表示指定的用户
- 允许执行的IP/host表示该对应的IP(或名为该host/s的主机)允许使用这个特定用户为特定数据库表执行特定权限,
%表示任何IP/host - 密码表示将该用户密码重置为当前指定密码(若不指定则继续使用该用户的当前密码)
- with grant option:这个选项表示该用户可以将自己拥有的权限授权给别人
备注:可以使用GRANT重复给用户添加权限,权限叠加,比如你先给用户添加一个select权限,然后又给用户添加一个insert权限,那么该用户就同时拥有了select和insert权限。
比如:
// 允许host主机使用 user1 用户(该用户密码为 password)对名为database name的DB中所有表执行查询操作
grant select on <database name>.* to user1@host identified by "password";
// 允许任何主机使用 test1 用户(该用户密码为 abc)对DB中任何库任何表执行CRUD操作
grant select,insert,update,delete on *.* to test1@'%' Identified by “abc”;
// 只允许localhost主机使用 test1 用户(该用户密码为 abc)对DB中任何库任何表执行CRUD操作
grant select,insert,update,delete on mydb.* to test2@localhost identified by “abc”;
// 只允许localhost主机使用 test1 用户(无登录密码)对DB中任何库任何表执行CRUD操作
grant select,insert,update,delete on mydb.* to test2@localhost identified by "";
Refer to https://dev.mysql.com/doc/refman/8.0/en/grant.html
不在外名单中的IP访问MySQL
如果你当前连接MySQL的IP不在白名单内,将会得到错误:
$ mysql -u root -h 172.104.103.13 -p
Enter password:
ERROR 1130 (HY000): Host 'bb121-7-176-137.singnet.com.sg' is not allowed to connect to this MariaDB server
如果是被防火墙拦截而不能访问MySQL,则是这样的提示:
$ mysql -u rootss -h 1.1.1.1 -p
Enter password:
ERROR 2003 (HY000): Can't connect to MySQL server on '1.1.1.1' (61)
撤销权限
revoke all privileges on *.* from root@"";
刷新权限
只要对权限做了更改就应该执行一次刷新权限命令。
flush privileges;
密码
修改密码
Open the bash shell and connect to the server as root user:
$ mysql -u root -h localhost -p
Run ALTER mysql command:
ALTER USER 'userName'@'localhost' IDENTIFIED BY 'New-Password-Here';
Finally type SQL command to reload the grant tables in the mysql database:
FLUSH PRIVILEGES;