------------------------------------------------------------------------------------------------------------正文------------------------------------------------------------------------------------------------------------
背景:MySQL-5.7.11-GA
1.MySQL权限控制的简单介绍
2.需求
3.实现中需要解决的几个问题
4.初步方案的设计
5.改进方案的设想
1.MySQL权限控制的简单介绍
MySQL的权限控制,从范围上,由大到小分为三个级别:MySQL级,DB级,对象级;
MySQL级指的是对MySQL实例本身产生影响的操作,包括但不限于修改MySQL的参数,如buffer_pool_size;关闭/启动MySQL等等,比较明显的特点在于MySQL级别的操作权限没有指定具体的数据库(同样意味着对任何MySQL实例中的数据库生效,类似于全局权限的意思),(特殊的情况:创建数据库,虽然会指定数据库名,但是这个数据库本身不存在,所以也算是MySQL级的权限);
DB级指的是针对已存在的具体数据库的操作,包括修改数据库的字符集,创建或者删除具体的已存在的数据库等,比较明显的特点在于DB级的操作权限是限制在特定的数据库中;
对象级的操作主要指影响的是某个数据库内部的对象,例如表,索引,存储过程等;
不同级别之间权限的相互影响:采用交集,即MySQL级+DB级+对象级;
可以得出MySQL权限设置有两个特点,
DB级和对象级的权限,在设置的时候就必须要指明具体的DB和对象,如果DB和对象未知,则只能靠MySQL级的去设置全局权限,针对现有/新创建的DB和对象生效;
如果在高级别设置了权限,则会取所有级别的权限的交集,比如设置了create,insert on *.*(MySQL级别),create on testdb.*(DB级)中,MySQL级(全局权限)禁止掉的insert不会生效,依然可以insert数据到testdb的表中;但是设置了create,insert on testdb.*(DB级)和create on *.*(MySQL级)时,用户是可以在testdb进行insert操作的,意味着在高级别的权限上,设置的--“没有insert权限”并不会覆盖低级别上单独赋予的“insert权限”。
如图:
权限控制在MySQL中的实现:具体的权限设置存储于MySQL系统库的一些表里面,MySQL级的设置存在于user表中,当一个client试图连接MySQL实例的时候,会先检查这个表中的权限(包括账户名,密码,HOST的验证),通过之后,才能连接到MySQL实例。
其他级别的设置会保存在db,tables_priv,column_priv等表里面,具体信息可以在数据库中查看。
2.需求
希望能够有一个“admin”角色,具备root的所有权限,除了修改MySQL的global设置和主从设置等;
3.实现中需要解决的几个问题
首先想到的办法就是:grant all on *.* to admin@'%' with grant option,然后revoke super on *.* from admin@'%',不过问题来了, 在这种设置下,admin是可以直接update mysql.user表,然后手动添加super权限的;
而且如果要能创建新的DB,且为新的用户赋予新DB的各种权限的话,就需要至少是Create+增删改查的权限,且对象为全局(on *.*),那么同样的,admin一样可以修改mysql.user表。
4.初步方案的设计
使用shell脚本,在里面添加sudo mysql -u -p -e来完成创建新DB,创建新用户,授权等操作,然后禁止所使用的系统用户对这个脚本的cat,vim,vi等文本操作权限;
这种方案的问题也不少:其他的用户可以登录DB Server;脚本中保存的root密码可能会被自身不熟悉的方式获取;etc...
5.改进方案的设想
如果有个web就好了,能够屏蔽所有服务器端的细节和操作,在页面上点点点就做完了_(:з」∠)_
