手记

对MySQL数据库的安全进行的详述

MySQL数据库的安全性一般包括以下几个方面:

  • 安全的一般性因素:包括使用较大强度的密码,禁止给用户分配不必要的权限,以防止 SOL 受到攻击。
  • 安装步骤的安全性:确保安装 MySQL 时指定的数据文件、日志文件、程序文件均被存储在安全的地方,未经授权的用户无法读取或写入数据。
  • 访问控制安全:包括在数据库中定义账户及相关权限设置。
  • MySQL网络安全:仅允许有效的主机可以连接服务器,并且需要账户权限。
  • 数据安全。确保已经对 MySQL 数据库文件、配置文件、日志文件进行了充分且可靠的备份。完善的备份机制是数据安全的前提条件。

MySOL 数据库系统能够进行连接、查询以及其他操作,主要取决于访问控制列表,MySQL 权限列表如表 1 所示。

表 1 MySQL的权限及作用

权 限 作 用
CREATE 创建数据库、数据表和索引的权限
DROP 创建数据库、数据表和视图的权限
GRANT OPTION 允许为其他账户添加和删除权限
LOCK TABLES 允许用户使用该语句锁定数据表
EVENT 执行EVENT的权限
ALTER 修改数据的权限
DELETE 删除数据记录的权限
INDEX 创建删除索引的权限
INSERT 向数据表中插入数据的权限
SELECT 对数据库进行数据查询的权限
UPDATE 更新数据记录的权限
CREATE TEMPOPARY TABLES 创建临时表的权限
TRIGGER 执行触发器的权限
CREATE VIEW 创建视图的权限
SHOW VIEW 执行SHOW CREATE VIEW的权限
ALTER ROUTINE 修改或删除存储过程的权限
CREATE ROUTINE 创建存储过程的权限
EXECUTE 执行存储过程或函数的权限
FILE 赋予读写服务器主机文件的权限
CREATE TABLESPACE 创建表空间的权限
CREATE USER 创建修改MySQL账户的权限
PROCESS 显示服务器运行进程信息的权限
RELOAD 允许用户使用FLUSH语句
REPLICATION CLIENT 允许使用 SHOW MASTER STATUS 以及 SHOW SLAVE STATUS
REPLICATION SLAVE 允许从服务器连接当前服务器
SHOW DATABASES 允许使用SHOW DATABASES查看数据库信息
SHUTDOWN 允许用户关闭MySQL服务
SUPER 允许执行关闭服务器进程之类的管理操作
ALL 代表所有可用的权限

所有的账户及密码均被保存在 MySQL 数据库中的 user 数据表中,因此可以通过 mysqladmin 或使用 SQL 语句添加、删除、修改用户与密码信息。需要注意的是,MySQL 账号访问信息需要包含主机信息,如默认 root 是不允许通过远程主机登录的。

  1. 创建一个 username 用户,该用户可以通过本机连接 MySQL 数据库,账号密码设为 User*123。创建 username 用户的命令如下:

mysql> CREATE USER ‘username’@‘localhost’ IDENTIFIED BY ‘User*123’

其中,各个参数的含义为:

  • username 指创建的用户名。

  • host 指定该用户在哪个主机上可以登录,如果是本地用户可用 localhost,如果想让该用户可以从任意远程主机登录,可以使用通配符 %。

  • IDENTIFIED BY 指定用户的登录密码。

  • User*123 为该用户的登录密码,密码可以为空,如果为空,则该用户可以不需要密码登录服务器。

    出现如下内容时表明用户创建成功:

    Query OK, 0 rows affected(0.70 sec)

    > 注意,在为 username 用户设定密码时需要遵循密码设定规则,即需要同时有大小写字母、特殊符号、数字,另外密码必须是 8 位。

  1. 为 username 用户授予权限,命令如下:

mysql> GRANT ALL ON test1.* TO ‘username’@‘localhost’;

如果想让该用户可以给其他用户授权,使用以下命令即可:

mysql> GRANT ALL ON test1.* TO ‘username’@‘localhost’ WITH GRANT OPTION;

其中,各部分的含义为:

  • ALL 表示操作权限,如 SELECT,INSERT,UPDATE 等,如果要授予所有权限则使用 ALL。
  • ON 用来指定权限针对哪些库和表。
  • test1表示数据库的名称。
  • *表示表名,如果要授予该用户对所有数据库和表的相应操作权限,则可用 * 表示,如 .
  • TO 表示将权限赋予某个用户,如“username’@'localhost”表示username用户,@ 后面接限制的主机,可以是 IP、IP 段、域名以及 %,% 表示任何地方。
  • IDENTIFIED BY 指定用户的登录密码,该项可以省略。
  • WITH GRANT OPTION 表示该用户可以将自己拥有的权限授权给别人。

> 注意,如果在创建操作用户的时候不指定 WITH GRANT OPTION 选项,则该用户不能使用 GRANT 命令创建用户或者给其他用户授权。

GRANT 命令的授权操作常用方法如表 2 所示。

表 2 GRANT命令的授权操作常用方法及作用

方 法 作 用
GRANT 权限 ON 数据库名.数据表名 TO 用户名@主机名 对特定数据库中的特定表单赋予权限
GRANT 权限 ON 数据库名.* TO 用户名@主机名 对特定数据库中的所有表单赋予权限
GRANT 权限 ON*.* TO 用户名@主机名 对所有数据库中的所有表单赋予权限
GRANT 权限1,权限2 ON 数据库名.* TO 用户名@主机名 对特定数据库中的所有表单赋予多个权限
GRANT ALL PRIVILEGES ON . TO 用户名@主机名 对所有数据库中的所有表单赋予全部权限

还可以使用 GRANT 重复给用户添加权限,例如:先给用户添加一个 select 权限,然后又给用户添加一个 insert 权限,那么该用户就同时拥有了 select 和 insert 权限。

授予用户权限的规则,权限控制主要是出于安全因素,因此需要遵循以下原则:

  • 仅赋予用户所能满足需要的最小权限。例如:用户需要删除操作,那就只给 deletet 权限,不需要再给用户赋予 update、insert 或者 select 权限。
  • 创建用户的时候限制用户的登录主机,一般是限制成指定 IP 或者内网 IP 段。
  • 初始化数据库的时候删除没有密码的用户。安装完数据库的时候会自动创建一些用户,这些用户默认没有密码。
  • 为每个用户设置密码复杂度较大的密码。
  • 定期清理不需要的用户,回收权限或者删除用户。
  1. 查看用户权限,如图 3 所示。

查看某个用户的权限如图 4 所示。

  1. 更改用户名和密码。命令如下:

mysql> rename user ‘username’@‘localhost’ to ‘user’@‘localhost’;
mysql> SET PASSWORD FOR ‘user’@‘localhost’ = PASSWORD(‘123456’);

  1. 删除赋予用户的权限如图下所示:

mysql> REVOKE ALL ON test.* FROM ‘user’@‘localhost’;
Query OK, 0 rows affected(0.12 sec)

注意,ALL、test1.*需要和授权部分一致。

  1. 删除用户,使用命令如下:

mysql> DROP USER ‘user’@‘localhost’;

0人推荐
随时随地看视频
慕课网APP