MySQL的安全性维护

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介: MySQL安全管理

数据库除了数据管理之外,安全管理也是很重要的部分,其中的用户权限管理可以有效保证数据的安全访问,防止数据被非必要用户泄露、修改或删除。因此,MySQL提供了用户管理来保证数据的安全性。

      MySQL 安全管理通过创建用户、用户授权、 用户登录3个步骤的用户管理来实现。MySQL 安全系统非常灵活,可以通过命令或界面化登录,而用户权限也可以从数据库、表、列及其他数据库对象的不同授权来达到,既满足用户的需求,又限制用户不能超出访问、操作的权限。

【任务8.1】添加数据库用户

       1.MySQL 的权限表

       MySQL通过权限表来控制用户对数据库的访问,MySQL数据库在安装时会自动安装多个数据库。MySQL权限表存放在名称为MySQL的数据库中。常用的权限表有 user、db、host、table_priv、columns_priv和 procs_ priv。

       (1)user权限表。user是MySQL中最重要的一个权限表,user列主要分为4个部分:用户列、权限列、安全列和资源控制列。

       ①用户列:用户登录时通过表中的Host、User和Password列判断连接的IP、用户名称和密码是否存在于表中来通过身份验证或拒绝连接。

       ②权限列:user表中包含多个以“_priv”结尾的字段,这些字段决定了该用户的权限,既包括查询权限、插入权限、更新权限、删除权限等普通权限,也包括关闭服务器和加载用户等高级管理权限。

       ③ 安全列:ssl(加密)、x509(标识用户)开头的字段,以及 plugin 和 authentication string字段(验证用户身份、授权的插件)。

       ④资源控制列:max(最大允许次数,0表示无限制)开头的字段。

max_questions:表示每小时允许执行查询数据库的次数。

     max_updates:表示每小时允许执行更新数据库的次数。

max_connections:表示每小时允许执行连接数据库的次数。

max_user_conntions:表示单个用户同时连接数据库的次数。

       (2)db、host权限表。db权限表存储用户在各个数据库上的操作权限,决定哪些用户可以从哪些主机访问哪些数据库。

       host 权限表是db权限表的扩展,配合db权限表对给定主机上数据库级操作权限做更细致的控制。host 权限表很少使用,只有在db表的范围内扩展一个条目时才会用到。

       (3)table_priv权限表。记录数据表级别的操作权限。table_priv权限表与db权限表相似,不同之处是它用于数据表而不是数据库。

       (4)columns_priv权限表。记录数据字段级别的操作权限。columns_priv权限表的作用与table_priv权限表类似,不同之处是它针对某些表的特定字段的权限。

       (5)procs_priv权限表。该权限表存储用户在存储过程和函数上的操作权限。

       2.添加用户

       新安装的MySQL 中只有一个名称为root的用户。这个用户是安装服务器时由系统创建并赋予了 MySQL 的所有权限。在对 MySQL 的实际操作中,通常需要创建不同层次要求的用户来确保数据的安全访问。添加用户可以通过 CREATE USER INSERT和 GRANT语句来实现。

       (1)CREATE USER语句的语法格式为:

CREATE USER <'用户名>@<'主机'> [IDENTIFIED BY[PASSWORI[<'密码'>]];


      说明:

       ①使用 CREATE USER 语句可以创建一个或多个用户,用户之间用逗号分隔。

       ②“主机”可以是主机名或IP 地址,本地主机名可以使用localhost,“%”表示一组主机。

       ③“IDENTIFIED BY”关键字用于设置用户的密码,若指定用户登录不需要密码,则可以省略该选项。

       ④“PASSWORD”关键字指定使用哈希值设置密码。密码的哈希值可以使用 PASSWORDO 函数获取。

       (2)INSERT语句的语法格式为:

INSERT INTO mysql.user(User,Host,Password

Values(<'用户名'>,<'主机'>,PASSWORD(<'密码 '>));


     说明:通常语句只能添加 Host、User、Password字段的值,分别表示 user 数据表中的主机名字段、用户名字段和密码字段。

     注意,GRANT语句在授予用户权限任务部分详细讲解。


【任务8.2】授予、回收数据库用户权限

       新添加的数据库用户既不允许访问其他用户的数据库,也不能创建自己的数据库,只有在授予了相应的权限后才能访问或创建数据库,为满足 MySQL 服务器的安全需要考虑以下内容。

       ①多数用户只需要对数据表进行读、写操作,只有少数用户需要创建、删除数据表。

       ② 某些用户需要读、写数据而不需要修改数据。③某些用户允许添加数据而不允许删除数据。

       ④ 管理员用户需要有管理用户的权力,而其他用户则不需要。

       ⑤ 某些用户允许通过存储过程来访问数据,而不允许直接访问数据表。


        1.授予用户权限

       GRANT语句仅是语句,可以达到添加新用户或修改用户密码的作用。

GRANT 语句的语法格式为:

GRANT<权限名称>[(字段列表)]ON<对象名>TO<'用户名'>@<'主机'> [IDENTIFIED BY[PASSWORD]<'新密码 '>] [WITH GRANT OPTION];


       说明:

      ①“权限名称”中常用的权限如下。

      ALL [PRIVILEGES]:除GRANT OPTION之外的所有简单权限。

CREATE:允许创建数据表。

ALTER:允许修改数据表。

DROP:允许删除数据表。

SELECT:允许检索数据表。

INSERT:允许在数据表中插入数据。

DELETE:允许在数据表中删除数据

UPDATE:允许在数据表中更新数据。

INDEX:允许在数据表中定义索引。

CREATE VIEW:允许创建视图。

EXECUTE:允许运行指定的存储过程。

      ②“对象名”有以下权限级别。

      全局权限:适用于一个给定服务器中的所有数据库,可以用“*.*”来表示。

数据库权限:适用于一个给定数据库中的所有数据库对象,可以用“数据库名·*”来表示。

表权限:适用于一个给定表中的所有列,可以用“数据库名:表名”来表示。

列权限:适用于一个给定表中的单一列,可以先用“数据库名·表名”来表示,再在权限名称后加上“[(字段列表)]”可选项,如 SELECT(员工 ID,姓名)。

子程序权限;适用于给定存储过程或函数,可以用“PROCEDURE | FUNCTION数据库名·过程名”来表示。

       ③“<' 用户名>@<'主机'>”中若“用户名”不存在则添加用户。“[IDENTIFIED BY[PASSWORD]<'新密码'>]”可选项可以设置新用户的密码,若“用户名”已经存在,则此选项可以修改用户的密码。

       ④“[WITH GRANT OPTION]”可选项表示允许用户将获得的权限授予其他用户。

       2. 查看用户权限

       (1)使用SHOWGRANTS语句查看授权信息,其语法格式为:

SHOW GRANTS FOR<‘用户名’>@<‘主机’>


       (2)使用SELECT 语句查看mysql.user表中用户的全局权限,其语法格式为:

SELECT<权限字段> FROM mysql.user

[WHERE User=<'用户名'> AND Host=<' 主机 '>];


     说明:“mysql.user”表可以查询到用户的全局权限,“<权限字段>”中常用的权限字段有 Select_priv、Insert_priv、Create_priv等,mysql.db中可以查询到用户的数据库权限。

       3. 回收用户权限

       使用REVOKE语句回收用户权限,其语法格式为:

REVOKE<权限名称>[(字段列表)]ON<对象名>FROM<'用户名' >@<主机'>;


     说明:REVOKE 语句用来取消指定用户的某些指定权限,与 GRANT 语句类似。

【任务8.3】数据库用户管理

           当管理员在MySQL添加了用户后,因为各种问题可能需要对用户进行改名、修改密码或删除用户来实现对用户的管理。

       1.修改用户的名称

       使用RENAME USER语句可以修改用户的名称,其语法格式为:

RENAME USER <'旧的用户名'>@<'主机’> TO<'新的用户名'>@<主机'>;


      说明:RENAMEUSER语句可以对用户进行重命名,该语句可以同时对多个已存在的用户进行重命名,各个用户之间使用逗号分隔,重命名时“旧的用户名”必须已经存在,并且“新的用户名”还不存在,使用者必须拥有“RENAME USER”权限。

       2.修改用户的密码

       (1)使用mysqladmin命令修改用户密码的语法格式为:

mysqladmin-u<用户名>[-h<主机>]-p password[<新密码>]


      说明:“mysqladmin”是一条外部命令,必须在服务器端的“命令提示符”下执行。

       (2)使用SET PASSWORD语句修改用户密码的语法格式为:

SET PASSWORD[FOR<'用户名>@<主机'>]=PASSWORD<‘新密码’>);


      说明:SET PASSWORD语句可以修改用户的密码,语句中若不加“[FOR<'用户名'>@<'主机'>]”可选项,则修改当前用户密码。

       (3)使用UPDATE语句修改用户密码的语法格式为:

UPDATE mysql. user SET Password=PASSWORD(<'新密码'>)

WHERE User=<'用户名'> AND Host=<'主机'>;


      说明:“新密码”需要用“PASSWORDO)”函数来加密。

       3.删除用户

       (1)使用DROP USER 语句删除用户的语法格式为:

DROP USER<'用户名'>@<'主机'>;


说明:DROP USER语句可以删除一个或多个普通用户,各用户之间用逗号分隔如果删除用户已经创建的数据库对象,那么该用户将继续保留。使用者必须拥有“DROP USER”权限。


       (2)使用DELETE语句删除用户的语法格式为:

DELETE FROM mysql. user WHERE User <'用户名'>AND Host=<'主机'>;


说明:使用 DELETE语句删除用户时,使用者必须拥有“mysql.user”的“Delete”权限。


相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助 &nbsp; &nbsp; 相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
相关文章
|
6月前
|
监控 关系型数据库 数据库
rds的安全性
rds的安全性
226 7
|
6月前
|
关系型数据库 MySQL 数据库
深入MySQL数据库进阶实战:性能优化、高可用性与安全性
深入MySQL数据库进阶实战:性能优化、高可用性与安全性
599 0
|
1月前
|
存储 关系型数据库 MySQL
四种数据库对比MySQL、PostgreSQL、ClickHouse、MongoDB——特点、性能、扩展性、安全性、适用场景
四种数据库对比 MySQL、PostgreSQL、ClickHouse、MongoDB——特点、性能、扩展性、安全性、适用场景
|
6月前
|
SQL 安全 关系型数据库
MySQL安全性:防止攻击和保护数据
MySQL安全性:防止攻击和保护数据
499 1
|
4月前
|
SQL 关系型数据库 MySQL
(八)MySQL锁机制:高并发场景下该如何保证数据读写的安全性?
锁!这个词汇在编程中出现的次数尤为频繁,几乎主流的编程语言都会具备完善的锁机制,在数据库中也并不例外,为什么呢?这里牵扯到一个关键词:高并发,由于现在的计算机领域几乎都是多核机器,因此再编写单线程的应用自然无法将机器性能发挥到最大,想要让程序的并发性越高,多线程技术自然就呼之欲出,多线程技术一方面能充分压榨CPU资源,另一方面也能提升程序的并发支持性。
369 3
|
6月前
|
SQL 关系型数据库 MySQL
MySQL数据库进阶实战:优化性能、提高安全性和实现高可用性
MySQL数据库进阶实战:优化性能、提高安全性和实现高可用性
167 0
|
11月前
|
SQL 关系型数据库 MySQL
MySQL数据库进阶实战:优化性能、提高安全性和实现高可用性
MySQL数据库进阶实战:优化性能、提高安全性和实现高可用性
76 0
|
存储 监控 关系型数据库
MySQL数据库安全性的提升和防护措施
MySQL数据库安全性的提升和防护措施
|
安全 关系型数据库 MySQL
提高MySQL的安全性
提高MySQL的安全性
97 0
|
SQL 存储 监控
MySQL数据库安全性考虑:预防SQL注入漏洞
随着互联网的快速发展,数据库成为了现代应用程序中的重要组成部分。而在数据库的使用过程中,安全性一直是一个重要的关注点。SQL注入漏洞(SQL Injection)是一种常见的数据库安全漏洞,攻击者可以通过在应用程序的用户输入参数中注入恶意的SQL代码,从而获得对数据库的未授权访问权限。为了保护MySQL数据库免受SQL注入漏洞的威胁,以下是一些预防SQL注入漏洞的安全性考虑。