MySQL用户权限

云掣YunChe3周前技术文章67

1 MySQL 的权限概述

mysql中存在4个控制权限的表,分别为user表,db表,tables_priv表,columns_priv表,我当前的版本mysql 5.7.29 。

mysql权限表的验证过程为:

1. 先从user表中的Host,User,Password这3个字段中判断连接的ip、用户名、密码是否存在,存在则通过验证。

2. 通过身份认证后,进行权限分配,按照user,db,tables_priv,columns_priv的顺序进行验证。即先检查全局权限表user,如果user中对应的权限为Y,则此用户对所有数据库的权限都为Y,将不再检查db, tables_priv,columns_priv;如果为N,则到db表中检查此用户对应的具体数据库,并得到db中为Y的权限;如果db中为N,则检查tables_priv中此数据库对应的具体表,取得表中的权限Y,以此类推。

1.1 MySQL 的权限级别

mysql的权限级别分为: 

    全局性的管理权限: 作用于整个MySQL实例级别 

    数据库级别的权限: 作用于某个指定的数据库上或者所有的数据库上 

    数据库对象级别的权限:作用于指定的数据库对象上(表、视图等)或者所有的数据库对象上

    权限存储在mysql库的user, db, tables_priv, columns_priv, and procs_priv这几个系统表中,待MySQL实例启动后就加载到内存中。

查看user表中的字段

C++
desc user;

image.png




查看MySQL有哪些用户:

C++
--查看mysql 有哪些用户:
select user,host from mysql.user;

image (1).png


来看root 用户在权限系统表中的数据:

C++
use mysql;
select * from user where user='root' and host='localhost'\G;  #所有权限都是Y ,就是什么权限都有
select * from db where user='root' and host='localhost'\G;  # 没有此条记录
select * from tables_priv where user='root' and host='localhost';  # 没有此条记录 
select * from columns_priv where user='root' and host='localhost'; # 没有此条记录
select * from procs_priv where user='root' and host='localhost'; # 没有此条记录

image (3).png

根据上面说的权限的验证过程进行验证:

查看root@’localhost’用户的权限

C++
show grants for root@localhost;

image (4).png

2 MySQL权限详解


● All/All Privileges权限代表全局或者全数据库对象级别的所有权限

● Alter权限代表允许修改表结构的权限,但必须要求有create和insert权限配合。如果是rename表名,则要求有alter和drop原表, create和insert新表的权限

● Alter routine权限代表允许修改或者删除存储过程、函数的权限

● Create权限代表允许创建新的数据库和表的权限

● Create routine权限代表允许创建存储过程、函数的权限

● Create tablespace权限代表允许创建、修改、删除表空间和日志组的权限

● Create temporary tables权限代表允许创建临时表的权限

● Create user权限代表允许创建、修改、删除、重命名user的权限

● Create view权限代表允许创建视图的权限

● Delete权限代表允许删除行数据的权限

● Drop权限代表允许删除数据库、表、视图的权限,包括truncate table命令

● Event权限代表允许查询,创建,修改,删除MySQL事件

● Execute权限代表允许执行存储过程和函数的权限

● File权限代表允许在MySQL可以访问的目录进行读写磁盘文件操作,可使用的命令包括load data infile,select … into outfile,load file()函数

● Grant option权限代表是否允许此用户授权或者收回给其他用户你给予的权限,重新付给管理员的时候需要加上这个权限

● Index权限代表是否允许创建和删除索引

● Insert权限代表是否允许在表里插入数据,同时在执行analyze table,optimize table,repair table语句的时候也需要insert权限

● Lock权限代表允许对拥有select权限的表进行锁定,以防止其他链接对此表的读或写

● Process权限代表允许查看MySQL中的进程信息,比如执行show processlist, mysqladmin processlist, show engine等命令

● Reference权限是在5.7.6版本之后引入,代表是否允许创建外键

● Reload权限代表允许执行flush命令,指明重新加载权限表到系统内存中,refresh命令代表关闭和重新开启日志文件并刷新所有的表

● Replication client权限代表允许执行show master status,show slave status,show binary logs命令

● Replication slave权限代表允许slave主机通过此用户连接master以便建立主从复制关系

● Select权限代表允许从表中查看数据,某些不查询表数据的select执行则不需要此权限,如Select 1+1, Select PI()+2;而且select权限在执行update/delete语句中含有where条件的情况下也是需要的

● Show databases权限代表通过执行show databases命令查看所有的数据库名

● Show view权限代表通过执行show create view命令查看视图创建的语句

● Shutdown权限代表允许关闭数据库实例,执行语句包括mysqladmin shutdown

● Super权限代表允许执行一系列数据库管理命令,包括kill强制关闭某个连接命令, change master to创建复制关系命令,以及create/alter/drop server等命令

● Trigger权限代表允许创建,删除,执行,显示触发器的权限

● Update权限代表允许修改表中的数据的权限

● Usage权限是创建一个用户之后的默认权限,其本身代表连接登录权限

2.1 系统权限表

User表:存放用户账户信息以及全局级别(所有数据库)权限,决定了来自哪些主机的哪些用户可以访问数据库实例,如果有全局权限则意味着对所有数据库都有此权限 

    Db表:存放数据库级别的权限,决定了来自哪些主机的哪些用户可以访问此数据库 

    Tables_priv表:存放表级别的权限,决定了来自哪些主机的哪些用户可以访问数据库的这个表 

    Columns_priv表:存放列级别的权限,决定了来自哪些主机的哪些用户可以访问数据库表的这个字段 

    Procs_priv表:存放存储过程和函数级别的权限


user表和db表的结构对比:


User权限表结构中的特殊字段:

● Plugin,authentication_string字段存放用户认证信息

● Password_expired设置成’Y’则表明允许DBA将此用户的密码设置成过期而且过期后要求用户的使用者重置密码(alter user/set password重置密码)

● Password_last_changed作为一个时间戳字段代表密码上次修改时间,执行create user/alter user/set password/grant等命令创建用户或修改用户密码时此数值自动更新

● Password_lifetime代表从password_last_changed时间开始此密码过期的天数

● Account_locked代表此用户被锁住,无法使用

在mysql 5.7 以前在user表有password 这个字段。


Tables_priv和columns_priv权限表结构对比:

image (7).png

Tables_priv和columns_priv权限值对比

image (8).png

procs_priv权限表结构

image (10).png

● Routine_type是枚举类型,代表是存储过程还是函数

● Timestamp和grantor两个字段暂时没用

系统权限表字段长度限制表

image (11).png

权限认证中的大小写敏感问题

● 字段user,password,authencation_string,db,table_name大小写敏感

● 字段host,column_name,routine_name大小写不敏感

2.2 用户权限管理

2.2.1 查看用户权限信息

查看所有的用户

image (12).png


查看root用户和其他用户的权限

image (13).png

查看用户的其他非授权信息:

C++
show create user root@'localhost';



2.2.2 用户组成

MySQL的授权用户由两部分组成: 用户名和登录主机名

  ○ 表达用户的语法为’user_name’@’host_name’

  ○ 单引号不是必须,但如果其中包含特殊字符则是必须的

  ○ ”@‘localhost’代表匿名登录的用户

  ○ Host_name可以使主机名或者ipv4/ipv6的地址。 Localhost代表本机, 127.0.0.1代表ipv4本机地址, ::1代表ipv6的本机地址

  ○ Host_name字段允许使用%和_两个匹配字符,比如’%’代表所有主机, ’%.mysql.com’代表 

来自mysql.com这个域名下的所有主机, ‘192.168.1.%’代表所有来自192.168.1网段的主机


image (15).png

2.2.3 修改用户权限

● 执行Grant,revoke,set password,rename user命令修改权限之后, MySQL会自动将修改后的权限信息同步加载到系统内存中

● 如果执行insert/update/delete操作上述的系统权限表之后,则必须再执行刷新权限命令才能同步到系统内存中,刷新权限命令包括: flush privileges/mysqladmin flush-privileges / mysqladmin reload

● 如果是修改tables和columns级别的权限,则客户端的下次操作新权限就会生效

● 如果是修改database级别的权限,则新权限在客户端执行use database命令后生效

● 如果是修改global级别的权限,则需要重新创建连接新权限才能生效 (例如修改密码)

2.2.4 创建mysql的用户

有两种方式创建MySQL授权用户

1. 执行create user/grant命令(推荐方式)

2. 通过insert语句直接操作MySQL系统权限表

C++
# 创建erlong/jiuyue 这只是创建用户并没有权限 
CREATE USER 'erlong'@'localhost' IDENTIFIED BY 'Admin258258';
# 把erlong变成管理员用户 
GRANT ALL PRIVILEGES ON *.* TO 'erlong'@'localhost' WITH GRANT OPTION;
#创建用户并赋予RELOAD,PROCESS权限 ,在所有的库和表上
GRANT RELOAD,PROCESS ON *.* TO 'admin'@'localhost' identified by '123456';
 
# 创建keme用户,在test库,temp表, 上的id列只有select 权限
grant select(id) on test.temp to keme@'localhost' identified by '123456';


2.2.5 回收mysql用户权限

image (18).png

C++
--回收erlong用户的所有权限
revoke ALL ON *.* FROM erlong@localhost;

image (19).png

2.2.6 删除用户

通过执行drop user命令删除MySQL用户 

还可以通过系统权限表删除(不建议)

C++
drop user erlong@'localhost';



2.2.7 设置MySQL用户资源限制

● 通过设置全局变量max_user_connections可以限制所有用户在同一时间连接MySQL实例的数量,但此参数无法对每个用户区别对待,所以MySQL提供了对每个用户的资源限制管理

● MAX_QUERIES_PER_HOUR:一个用户在一个小时内可以执行查询的次数(基本包含所有语句)

● MAX_UPDATES_PER_HOUR:一个用户在一个小时内可以执行修改的次数(仅包含修改数据库或表的语句)

● MAX_CONNECTIONS_PER_HOUR:一个用户在一个小时内可以连接MySQL的时间

● MAX_USER_CONNECTIONS:一个用户可以在同一时间连接MySQL实例的数量

● 从5.0.3版本开始,对用户‘user’@‘%.example.com’的资源限制是指所有通过example.com域名主机连接user用户的连接,而不是分别指从host1.example.com和host2.example.com主机过来的连接


2.2.8 修改 mysql 用户密码

修改用户密码的方式包括

C++
--将erlong用户的密码由Admin258258改为admin258258
mysql> ALTER USER 'erlong'@'localhost' IDENTIFIED BY 'admin258258';
mysql> SET PASSWORD FOR 'erlong'@'localhost' = PASSWORD('admin258258');
mysql> GRANT USAGE ON *.* TO 'erlong'@'localhost' IDENTIFIED BY 'admin258258';
shell> mysqladmin -u user_name -h host_name password "admin258258"

image (21).png


修改当前会话本身用户密码的方式包括:

C++
mysql> ALTER USER USER() IDENTIFIED BY 'mypass';
mysql> SET PASSWORD = PASSWORD('mypass');


2.2.9 设置MySQL用户密码过期策略

设置系统参数default_password_lifetime作用于所有的用户账户

  ○ default_password_lifetime=180 设置180天过期

  ○ default_password_lifetime=0 设置密码不过期 

如果为每个用户设置了密码过期策略,则会覆盖上述密码不过期系统参数

C++
ALTER USER 'erlong'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
ALTER USER 'erlong'@'localhost' PASSWORD EXPIRE NEVER; 密码不过期
ALTER USER 'erlong'@'localhost' PASSWORD EXPIRE DEFAULT; 默认过期策略

手动强制某个用户密码过期

C++
ALTER USER 'erlong'@'localhost' PASSWORD EXPIRE;



2.2.10 mysql 用户 lock

通过执行create user/alter user命令中带account lock/unlock子句设置用户的lock状态

Create user语句默认的用户是unlock状态

C++
# 创建的时候给用户锁定
mysql> create user erlong@localhost identified by 'mysql' account lock;

Alter user语句默认不会修改用户的lock/unlock状态

C++
# 修改用户为unlock
mysql> alter user abc2@'localhost' account unlock;

当客户端使用lock状态的用户登录MySQL时,会收到如此报错 

Access denied for user ‘user_name’@’host_name’. 

Account is locked.









阅读剩余的86%

相关文章

mcasttest-tool组播检测工具

mcasttest-tool组播检测工具

检测组播mcasttest-tool是oracle组播检测工具,组播是oracle 11.2.0.2开始的新功能1、上传mcasttest工具解压并授权[root@rac1 soft]# cd /u0...

Elasticsearch数据生命周期如何规划

Elasticsearch中的open状态的索引都会占用堆内存来存储倒排索引,过多的索引会导致集群整体内存使用率多大,甚至引起内存溢出。所以需要根据自身业务管理历史数据的生命周期,如近3个月的数据op...

oracle adg容灾切换需要注意的参数

1.DG角色在线转换1.1 角色(主备)和DG有关的角色:primary database 主库,在线服务应用physical standby database 备库,物理备库,在线备份主库数据与主库...

卸载mysql

1、查看安装的mysql,并停止mysqlps -ef|grep mysql #停止mysql  kill -9 pid2、卸载mysql安装包二进制安装的没有安装包 #查看安装的mysql...

EasyMR如何为服务开启Kerberos

EasyMR如何为服务开启Kerberos

一、Hadoop为什么需要安全最早部署Hadoop集群时并没有考虑安全问题,未开启安全认证时,Hadoop 是以客户端提供的用户名作为用户凭证, 一般即是发起任务的Unix 用户。一般线上机器部署服务...

基于Gitlab和Kubernetes的CI/CD

基于Gitlab和Kubernetes的CI/CD

此套CI/CD流程仅依赖gitlab。runner等组件安装在kubernetes集群中,尽量减少其他依赖,便于维护。依赖介绍gitlab runnergitlab runner用来运行我们的作业并将...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。