經(jīng)常遇到有網(wǎng)友在QQ群或者論壇上問關(guān)于mysql權(quán)限的問題,今天抽空總結(jié)一下關(guān)于這幾年使用MYSQL的時(shí)候關(guān)于MYSQL數(shù)據(jù)庫(kù)的權(quán)限管理的經(jīng)驗(yàn),也希望能對(duì)使用mysql的網(wǎng)友有所幫助!
一、MYSQL權(quán)限簡(jiǎn)介
關(guān)于mysql的權(quán)限簡(jiǎn)單的理解就是mysql允許你做你權(quán)利以內(nèi)的事情,不可以越界。比如只允許你執(zhí)行select操作,那么你就不能執(zhí)行update操作。只允許你從某臺(tái)機(jī)器上連接mysql,那么你就不能從除那臺(tái)機(jī)器以外的其他機(jī)器連接mysql。
那么MYSQL的權(quán)限是如何實(shí)現(xiàn)的呢?這就要說到mysql的兩階段的驗(yàn)證,下面詳細(xì)來介紹:第一階段:服務(wù)器首先會(huì)檢查你是否允許連接。因?yàn)閯?chuàng)建用戶的時(shí)候會(huì)加上主機(jī)限制,可以限制成本地、某個(gè)IP、某個(gè)IP段、以及任何地方等,只允許你從配置的指定地方登錄。后面在實(shí)戰(zhàn)的時(shí)候會(huì)詳細(xì)說關(guān)于主機(jī)的限制。第二階段:如果你能連接,MYSQL會(huì)檢查你發(fā)出的每個(gè)請(qǐng)求,看你是否有足夠的權(quán)限實(shí)施它。比如你要更新某個(gè)表、或者查詢某個(gè)表,MYSQL會(huì)檢查你對(duì)哪個(gè)表或者某個(gè)列是否有權(quán)限。再比如,你要運(yùn)行某個(gè)存儲(chǔ)過程,MYSQL會(huì)檢查你對(duì)存儲(chǔ)過程是否有執(zhí)行權(quán)限等。
MYSQL到底都有哪些權(quán)限呢?從官網(wǎng)復(fù)制一個(gè)表來看看:
權(quán)限 | 權(quán)限級(jí)別 | 權(quán)限說明 |
CREATE | 數(shù)據(jù)庫(kù)、表或索引 | 創(chuàng)建數(shù)據(jù)庫(kù)、表或索引權(quán)限 |
DROP | 數(shù)據(jù)庫(kù)或表 | 刪除數(shù)據(jù)庫(kù)或表權(quán)限 |
GRANT OPTION | 數(shù)據(jù)庫(kù)、表或保存的程序 | 賦予權(quán)限選項(xiàng) |
REFERENCES | 數(shù)據(jù)庫(kù)或表 | |
ALTER | 表 | 更改表,比如添加字段、索引等 |
DELETE | 表 | 刪除數(shù)據(jù)權(quán)限 |
INDEX | 表 | 索引權(quán)限 |
INSERT | 表 | 插入權(quán)限 |
SELECT | 表 | 查詢權(quán)限 |
UPDATE | 表 | 更新權(quán)限 |
CREATE VIEW | 視圖 | 創(chuàng)建視圖權(quán)限 |
SHOW VIEW | 視圖 | 查看視圖權(quán)限 |
ALTER ROUTINE | 存儲(chǔ)過程 | 更改存儲(chǔ)過程權(quán)限 |
CREATE ROUTINE | 存儲(chǔ)過程 | 創(chuàng)建存儲(chǔ)過程權(quán)限 |
EXECUTE | 存儲(chǔ)過程 | 執(zhí)行存儲(chǔ)過程權(quán)限 |
FILE | 服務(wù)器主機(jī)上的文件訪問 | 文件訪問權(quán)限 |
CREATE TEMPORARY TABLES | 服務(wù)器管理 | 創(chuàng)建臨時(shí)表權(quán)限 |
LOCK TABLES | 服務(wù)器管理 | 鎖表權(quán)限 |
CREATE USER | 服務(wù)器管理 | 創(chuàng)建用戶權(quán)限 |
PROCESS | 服務(wù)器管理 | 查看進(jìn)程權(quán)限 |
RELOAD | 服務(wù)器管理 | 執(zhí)行flush-hosts, flush-logs, flush-privileges, flush-status, flush-tables, flush-threads, refresh, reload等命令的權(quán)限 |
REPLICATION CLIENT | 服務(wù)器管理 | 復(fù)制權(quán)限 |
REPLICATION SLAVE | 服務(wù)器管理 | 復(fù)制權(quán)限 |
SHOW DATABASES | 服務(wù)器管理 | 查看數(shù)據(jù)庫(kù)權(quán)限 |
SHUTDOWN | 服務(wù)器管理 | 關(guān)閉數(shù)據(jù)庫(kù)權(quán)限 |
SUPER | 服務(wù)器管理 | 執(zhí)行kill線程權(quán)限 |
MYSQL的權(quán)限如何分布,就是針對(duì)表可以設(shè)置什么權(quán)限,針對(duì)列可以設(shè)置什么權(quán)限等等,這個(gè)可以從官方文檔中的一個(gè)表來說明:
權(quán)限分布 | 可能的設(shè)置的權(quán)限 |
表權(quán)限 | 'Select', 'Insert', 'Update', 'Delete', 'Create', 'Drop', 'Grant', 'References', 'Index', 'Alter' |
列權(quán)限 | 'Select', 'Insert', 'Update', 'References' |
過程權(quán)限 | 'Execute', 'Alter Routine', 'Grant' |
針對(duì)權(quán)限這部分,最主要的是要知道MYSQL是如何驗(yàn)證的(兩階段驗(yàn)證),以及mysql各個(gè)權(quán)限是做什么用的,以及那些權(quán)限用在什么地方(表or列?)。如果這些把握了那么MYSQL權(quán)限對(duì)你來說就是小菜一碟了,只要看一下后面的權(quán)限管理就可以融會(huì)貫通了。
二、MYSQL權(quán)限經(jīng)驗(yàn)原則
權(quán)限控制主要是出于安全因素,因此需要遵循一下幾個(gè)經(jīng)驗(yàn)原則:
1. 只授予能滿足需要的最小權(quán)限,防止用戶干壞事。哈哈。比如用戶只是需要查詢,那就只給select權(quán)限就可以了,不要給用戶賦予update、insert或者delete權(quán)限。
2. 創(chuàng)建用戶的時(shí)候限制用戶的登錄主機(jī),一般是限制成指定IP或者內(nèi)網(wǎng)IP段。
3. 初始化數(shù)據(jù)庫(kù)的時(shí)候刪除沒有密碼的用戶。安裝完數(shù)據(jù)庫(kù)的時(shí)候會(huì)自動(dòng)創(chuàng)建一些用戶,這些用戶默認(rèn)沒有密碼。
4. 為每個(gè)用戶設(shè)置滿足密碼復(fù)雜度的密碼。
5. 定期清理不需要的用戶。回收權(quán)限或者刪除用戶。
三、MYSQL權(quán)限實(shí)戰(zhàn)
1. GRANT命令使用說明
先來看一個(gè)例子,創(chuàng)建一個(gè)只允許從本地登錄的超級(jí)用戶feihong,并允許將權(quán)限賦予別的用戶,密碼為test@feihong.111
GRANT ALL PRIVILEGES ON *.* TO feihong@'localhost' IDENTIFIED BY 'test@feihong.111' WITH GRANT OPTION;
GRANT命令說明:
ALL PRIVILEGES 是表示所有權(quán)限,你也可以使用select、update等權(quán)限提到的權(quán)限。
ON 用來指定權(quán)限針對(duì)哪些庫(kù)和表。
*.* 中前面的*號(hào)用來指定數(shù)據(jù)庫(kù)名,后面的*號(hào)用來指定表名。
TO 表示將權(quán)限賦予某個(gè)用戶。
feihong@'localhost' 表示feihong用戶,@后面接限制的主機(jī),可以是IP、IP段、域名以及%,%表示任何地方。注意:這里%有的版本不包括本地,以前碰到過給某個(gè)用戶設(shè)置了%允許任何地方登錄,但是在本地登錄不了,這個(gè)和版本有關(guān)系,遇到這個(gè)問題再加一個(gè)localhost的用戶就可以了。
IDENTIFIED BY 指定用戶的登錄密碼。
WITH GRANT OPTION 這個(gè)選項(xiàng)表示該用戶可以將自己擁有的權(quán)限授權(quán)給別人。注意:經(jīng)常有人在創(chuàng)建操作用戶的時(shí)候不指定WITH GRANT OPTION選項(xiàng)導(dǎo)致后來該用戶不能使用GRANT命令創(chuàng)建用戶或者給其他用戶授權(quán)。
備注:可以使用GRANT重復(fù)給用戶添加權(quán)限,權(quán)限疊加,比如你先給用戶添加了一個(gè)select權(quán)限,然后又給用戶添加了一個(gè)insert權(quán)限,那么該用戶就同時(shí)擁有了select和insert權(quán)限。
2. 創(chuàng)建一個(gè)超級(jí)用戶
創(chuàng)建一個(gè)只允許從本地登錄的超級(jí)用戶feihong,并允許將權(quán)限賦予別的用戶,密碼為test@feihong.111
GRANT ALL PRIVILEGES ON *.* TO feihong@'localhost' IDENTIFIED BY 'test@feihong.111' WITH GRANT OPTION;
3. 創(chuàng)建一個(gè)網(wǎng)站用戶(程序用戶)
創(chuàng)建一個(gè)一般的程序用戶,這個(gè)用戶可能只需要SELECT, INSERT, UPDATE, DELETE, CREATE TEMPORARY TABLES等權(quán)限如果有存儲(chǔ)過程還需要加上EXECUTE權(quán)限,一般是指定內(nèi)網(wǎng)網(wǎng)段192.168.100網(wǎng)段。
GRANT USAGE,SELECT, INSERT, UPDATE, DELETE, SHOW VIEW ,CREATE TEMPORARY TABLES,EXECUTE ON `test`.* TO webuser@'192.168.100.%' IDENTIFIED BY 'test@feihong.111';
4. 創(chuàng)建一個(gè)普通用戶(僅有查詢權(quán)限)
GRANT USAGE,SELECT ON `test`.* TO public@'192.168.100.%' IDENTIFIED BY 'public@feihong.111';
5. 刷新權(quán)限
使用這個(gè)命令使權(quán)限生效,尤其是你對(duì)那些權(quán)限表user、db、host等做了update或者delete更新的時(shí)候。以前遇到過使用grant后權(quán)限沒有更新的情況,大家可以養(yǎng)成習(xí)慣,只要對(duì)權(quán)限做了更改就使用FLUSH PRIVILEGES命令來刷新權(quán)限。
6. 查看權(quán)限
使用如下命令可以方便的查看到某個(gè)用戶的權(quán)限:
SHOW GRANTS FOR 'webuser'@'192.168.100.%';
7. 回收權(quán)限
將前面創(chuàng)建的webuser用戶的DELETE權(quán)限回收,使用如下命令
REVOKE DELETE ON test.* FROM 'webuser'@'192.168.100.%';
8. 刪除用戶
注意刪除用戶不要使用DELETE直接刪除,因?yàn)槭褂?/span>DELETE刪除后用戶的權(quán)限并未刪除,新建同名用戶后又會(huì)繼承以前的權(quán)限。正確的做法是使用DROP USER命令刪除用戶,比如要?jiǎng)h除'webuser'@'192.168.100.%'用戶采用如下命令:
DROP USER 'webuser'@'192.168.100.%';
大家可以采用percona-toolkit工具中的pt-show-grants工具來輔助管理mysql權(quán)限。具體使用見博文http://blog.chinaunix.net/uid-20639775-id-3207926.html
轉(zhuǎn)自:
http://blog.chinaunix.net/uid-20639775-id-3249105.html