在讲权限的时候,官方有一句话:
Do not ever give anyone (except MySQL root accounts) access to the user table in the mysql database!
不要让任何人有进入mysql.user表的权限
Never grant privileges to all hosts.
绝不赋予权限给任何的主机
mysql的用户认证系统:有两个阶段:
验证和授权
(1)验证,第一步先走mysql.user表,查看是否有这个用户,如果有,则匹配授权,没有的话就拒绝连接。
(2)授权,走db->tables_priv-> column_priv
说白了,授权的时候,分全局级,数据库级,表级和列级,routine级。
http://dev.mysql.com/doc/refman/5.5/en/privileges-provided.html 这里有Mysql提供的权限细则
desc user,db,host(可以查看这三个重要的权限系统表)
更改数据库的权限表,也有两种方式,一种直接改db,user,host,tables_priv,column_priv表。再flush privilegs,这种方式不推荐,还有一种就是grant,上面的网址,也有相应的细则。我举几个实用的例子
例如:
grant all privileges on *.* to zsd@localhost identified by 'zsd'(创建用户,并赋予所有的权限,除了grant privilege,这个是全局级的)
select * from mysql.user where user='zsd' and host='localhost' \G;(查看刚刚用户权限情况)
grant all privileges on *.* to zsd@localhost identified by 'zsd' with grant option(加上grant privilege)
grant select ,insert,update,delete on zsd.* to zsd_oper@'192.168.35.%' identified by ' zsd_oper '
(匹配是192.168.35网段的zsd用户的任何主机,有访问zsd数据库的增上改查的权限)
grant execute on test.pl to 'abc'@'localhost'(赋予用户执行存储过程和函数的权限)
当然还可以设置adminstrator级别的权限。
grant super,process,file on *.* to zsd_ad@'%' identified by ' zsd_ad';(由于admin权限,所以不是针对库和表的,是针对服务器级别的)
super:enables an account to use CHANGE MASTER TO, KILL or mysqladmin kill to kill threads belonging to other accounts (you can always kill your own threads),PURGE BINARY LOGS, configuration changes using SET GLOBAL to modify global system variables, the mysqladmin debug command
process:The privilege enables use of SHOW PROCESSLIST or mysqladmin processlist to see threads belonging to other accounts
file:gives you permission to read and write files on the server host using the LOAD DATA INFILE and SELECT ... INTO OUTFILE statements and the LOAD_FILE() function
都挺好理解的,我就不翻译了,作为自己看的,再提醒一遍,上面的网址有详细的介绍。当然file的这个权限对于服务器级别是可以做文章的,会导致漏洞和不安全。
grant usage on *.* to zsd_usage@'%' identified by'zsd_usage'(只用户登录数据库,没有任何权限)
查看权限:
show grants for zsd@localhost;
更改权限:
再使用一遍grant,加一个create权限
grant select ,insert,update,delete,create on zsd.* to zsd_oper@'192.168.35.%' identified by ' zsd_oper '
删除权限:
就演示上面的权限删除
revoke all privileges on *.* from zsd_oper@'192.168.35.%' identified by ' zsd_oper ' ;(这个会删除上面的权限吗,完全不会,它只会删除全局的权限,也就是更改user表中的权限)
revoke all privileges on zsd.* from zsd_oper@'192.168.35.%' identified by ' zsd_oper ' ;(这样就可以删除zsd数据库上面的各个权限了)
当然,删除权限只能删除除了usage权限的所有权限指标,代表这这个用户还是存在的。
要想删除的话,只有直接drop user zsd_oper@'192.168.35.%'
除了赋予权限,删除用户,你可能还想修改密码:
修改密码的方式:
set password for zsd_oper@'192.168.35.%' =password('zsd');
还可以直接修改user表,然后flush privileges.建议不使用。
关于Mysql的安全问题:
锁定mysql用户。
管理员用mysql用户,进行管理,切忌不用root用户(权限太大了),其他的用户都用专有用户管理,例如:zsd_read,zsd_oper用户来做只读和操作用户挺好。
mysql除了数据文件目录是mysql,其他的目录都应该设置为root用户。
还有一个匿名用户的问题例如:(它可以以任何用户名的方式进入),drop user ''@'localhost'可以删除此匿名用户