MySQL安全----用户创建与权限控制

简介

创建用户以及给用户合理的分配权限是提高安全的最有效措施之一。不仅仅是MySQL数据库、对于其他数据库、操作系统、应用系统等等，用户权限分配都是有效的安全措施之一。即使被黑客攻破，但是由于其拿到的用户权限较低，可以有效降低危害。所以对外开放的系统，应尽量使用较低权限的用户。

详解

用户相关命令

create user 'testuser'@'%' identified by 'password'; --创建用户，密码为password，允许所有IP都可以连接 create user 'testuser'@'10.%' identified by 'password'; --创建用户，密码为password，仅允许IP为 10. 的网段可以连接 drop user 'admin'@'localhost';（@不加默认为“%”） --删除用户 Delete FROM user Where User='test' and Host='localhost'; --从USER表删除用户（不建议使用） ALTER USER 'testlocal'@'localhost' identified by 'password'; --修改用户testlocal用户localhost地址的密码为password ALTER USER 'testlocal'@'192.168.1.2' identified by 'password1'; --修改用户testlocal用户192.168.1.2地址的密码为password1 RENAME USER 'test'@'localhost' TO test1@localhost --修改用户名，将test用户名改为test1

MySQL的用户其实可以说是由两部分组成，用户名网段/IP地址。这也是一个安全设计，网段或IP地址可以限制用户的连接地址，比如设置为localhost或127.0.0.1，则只允许本机使用此用户名连接MySQL。也可以使用通配符%，比如testuser@%就是允许所有的IP都可以使用testuser用户连接MySQL，既可以远程连接。再比如testuser@10.%,允许IP地址以 10 开头的网段用testuser用户连接MySQL。删除用户的方式有两种，但是不建议使用第二种方式直接从user表删除。这与权限有关，在其他表中会存储着用户的权限数据，直接删除user表中数据会删除用户但是不会删除用户的相关权限数据。

用户权限

权限层级

MySQL的权限是有多个层级的，分别是，存储在各个表当中。

mysql.user表	mysql.db表	mysql.tables_priv表	mysql.columns_priv表
全局权限	数据库权限	表权限	列权限

权限判断过程大概是这样的：客户端操作核实阶段，当客户端的连接请求被MySQL服务器端通过其身份认证后。那么接下来就可以发送数据库的操作命令给服务器端处理，服务器检查用户要执行的操作，在确认权限时，MySQL首先检查user表，如果指定的权限没有在user表中被授权；MySQL将检查db表，db表时下一安全层级，其中的权限限定于数据库层级，在该层级的SELECT权限允许用户查看指定数据库的所有表中的数据；如果在该层级没有找到限定的权限，则MySQL继续检查tables_priv表以及columns_priv表，如果所有权限表都检查完毕，但还是没有找到允许的权限操作，MySQL将返回错误信息，用户请求的操作不能执行，操作失败。

权限分类

权限的分类也有很多种，就比如select查权限、delete删权限。直接看下表：

分类	权限	描述	应用层级
普通权限（应用程序）	CREATE	允许用户创建数据库或表	数据库、表或索引
	DROP	允许用户删除数据库或表	数据库或表
	GRANT OPTION	允许用户授予权限	数据库、表或保存的程序
	ALTER	允许用户改变表结构	表
	DELETE	允许用户删除现存表的行	表
	INDEX	允许用户创建、修改表索引	表
	INSERT	允许用户在表中插入新的记录	表
	SELECT	允许用户查看表记录	表
	UPDATE	允许用户修改表中现有的记录	表
	CREATE VIEW	允许用户创建视图	视图
	SHOW VIEW	允许用户查看视图创建语句	视图
	ALTER ROUTINE	允许用户修改存储过程、函数	保存的程序
	CREATE ROUTINE	允许用户创建存储过程、函数	保存的程序
	EXECUTE	允许用户允许以创建的子程序	保存的程序
管理员	FILE	允许用户使用select…into outfile、load data infile 将数据从文件读入表或从表读入文件	服务器主机上的文件访问
	CREATE TEMPORARY TABLES	允许用户创建临时表	服务器管理
	LOCK TABLES	允许用户使用LOCK TABLES	服务器管理
	CREATE USER	允许用户使用CREATE USER,DORP USER,RENAME USER,REVOKE ALL PRIVILEGES	服务器管理
	PROCESS	允许用户使用show processlist 查看线程	服务器管理
	RELOAD	允许用户使用flush 、重载授权表、清空授权、主机、日志等	服务器管理
	REPLICATION CLIENT	允许用户询问从属服务器或主机服务器地址	服务器管理
	REPLICATION SLAVE	用于主从复制性从属服务器（从主服务器中读取二进制日志文件）	服务器管理
	SHOW DATABASES	允许使用show databases 查看所有的数据库列表，没有这个权限，用户只能看到拥有权限的数据库	服务器管理
	SHUTDOWN	允许使用mysqladmin shutdown 关闭mysql服务器	服务器管理
	SUPER	允许使用change master，kill，purge master logs 和set global 语句，mysqladmin debug 命令，当数据库达到max_connections 允许连接一次	服务器管理
特殊	allall perivileges	授予所有权限	服务器管理
特殊	usage	仅允许用户登录，但不授予权限	服务器管理

information_schema、performance_schema、test数据库

这三个数据库是安装MySQL默认有的三个库，比较特别。

information_schema数据库不占用物理磁盘，是虚拟数据库。类似于视图，从其他库中取数据。保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名，数据库的表，表列的数据类型与访问权限等。

information_schema和test数据库默认所有用户都有权限，即使是新建用户。可以新建个用户，然后登录使用show databases;语句查看，会显示这两个数据库。

默认情况下用户只能查看information_schema中的部分表，如果要指用户可以查看全部的表，就要授于它process 权限才行。语法：grant process on *.* to 'testuser'@'localhost';

PERFORMANCE_SCHEMA数据库主要用于收集数据库服务器性能参数。并且库里表的存储引擎均为PERFORMANCE_SCHEMA，而用户是不能创建存储引擎为PERFORMANCE_SCHEMA的表。MySQL5.5默认是关闭的，需要手动开启，在配置文件里添加：

代码语言：javascript复制

[mysqld]
performance_schema=ON

SQL

PERFORMANCE_SCHEMA数据库不能使用 ALL 权限类型直接授权。

数据库安全 mysql 权限权限控制

0 人点赞