MySQL权限管理实战!

数据库 MySQL
不清楚各位同学对数据库用户权限管理是否了解,作为一名 DBA ,用户权限管理是绕不开的一项工作内容。特别是生产库,数据库用户权限更应该规范管理。本篇文章将会介绍下 MySQL 用户权限管理相关内容。

[[393558]]

本文转载自微信公众号「MySQL技术」,作者MySQL技术。转载本文请联系MySQL技术公众号。

前言:

不清楚各位同学对数据库用户权限管理是否了解,作为一名 DBA ,用户权限管理是绕不开的一项工作内容。特别是生产库,数据库用户权限更应该规范管理。本篇文章将会介绍下 MySQL 用户权限管理相关内容。

1.用户权限简介

当我们创建过数据库用户后,还不能执行任何操作,需要为该用户分配适当的访问权限。

关于 MySQL 用户权限简单的理解就是数据库只允许用户做你权利以内的事情,不可以越界。比如只允许你执行 select 操作,那么你就不能执行 update 操作。只允许你从某个 IP 上连接 MySQL ,那么你就不能从除那个 IP 以外的其他机器连接 MySQL 。

在 MySQL 中,用户权限也是分级别的,可以授予的权限有如下几组:

  • 列级别,和表中的一个具体列相关。例如,可以使用 UPDATE 语句更新表 students 中 student_name 列的值的权限。
  • 表级别,和一个具体表中的所有数据相关。例如,可以使用 SELECT 语句查询表 students 的所有数据的权限。
  • 数据库级别,和一个具体的数据库中的所有表相关。例如,可以在已有的数据库 mytest 中创建新表的权限。
  • 全局,和 MySQL 中所有的数据库相关。例如,可以删除已有的数据库或者创建一个新的数据库的权限。

权限信息存储在 mysql 系统库的 user、db、tables_priv、columns_priv、procs_priv 这几个系统表中。

  • user 表:存放用户账户信息以及全局级别(所有数据库)权限。
  • db 表:存放数据库级别的权限,决定了来自哪些主机的哪些用户可以访问此数据库。
  • tables_priv 表:存放表级别的权限,决定了来自哪些主机的哪些用户可以访问数据库的这个表。
  • columns_priv 表:存放列级别的权限,决定了来自哪些主机的哪些用户可以访问数据库表的这个字段。
  • procs_priv 表:存放存储过程和函数级别的权限。

参考官方文档,可授予的权限如下表所示:

看起来各种可授予的权限有很多,其实可以大致分为数据、结构、管理三类,大概可分类如下:

2.权限管理实战

我们一般用 grant 语句为数据库用户赋权,建议大家先用 create user 语句创建好用户之后再单独进行授权。下面通过示例来具体看下:

  1. # 创建用户 
  2. create user 'test_user'@'%' identified by 'xxxxxxxx'
  3.  
  4. # 全局权限 
  5. GRANT super,select on *.* to 'test_user'@'%'
  6.  
  7. # 库权限 
  8. GRANT select,insert,update,delete,create,alter,execute on `testdb`.* to 'test_user'@'%'
  9.  
  10. # 表权限 
  11. GRANT select,insert on `testdb`.tb to 'test_user'@'%'
  12.  
  13. # 列权限 
  14. GRANT select (col1), insert (col1, col2) ON `testdb`.mytbl to 'test_user'@'%'
  15.  
  16. GRANT命令说明: 
  17. super,select 表示具体要授予的权限。 
  18. ON 用来指定权限针对哪些库和表。 
  19. *.* 中前面的*号用来指定数据库名,后面的*号用来指定表名。 
  20. TO 表示将权限赋予某个用户。 
  21. 'test_user'@'%' 表示test_user用户,@后面接限制的主机,可以是IP、IP段、域名以及%,%表示任何地方。 
  22.  
  23. # 刷新权限 
  24. flush privileges
  25.  
  26. # 查看某个用户的权限 
  27. show grants for 'test_user'@'%'
  28.  
  29. # 回收权限 
  30. revoke delete on `testdb`.* from 'test_user'@'%'

权限管理是一件不容忽视的事,我们不能为了方便而给数据库用户很大的权限。特别是对于生产库,更应该进行权限管控,建议程序用户只赋予增删改查等基础权限,个人用户只赋予查询权限。

出于安全考虑,建议遵循以下几个经验原则:

  • 只授予能满足需要的最小权限,防止用户干坏事。比如用户只是需要查询,那就只给 select 权限就可以了。
  • 创建用户的时候限制用户的登录主机,一般是限制成指定 IP 或者内网 IP 段。
  • 给各个服务单独创建数据库用户,单个用户最好只能操作单个库。
  • 及时记录各数据库用户权限等信息,以免忘记。
  • 若有外部系统调用,应配置只读用户,并且权限要精确到表或视图。
  • 定期清理不需要的用户,回收权限或者删除用户。

参考:

https://dev.mysql.com/doc/refman/5.7/en/privileges-provided.html

https://www.cnblogs.com/richardzhu/p/3318595.html

 

责任编辑:武晓燕 来源: MySQL技术
相关推荐

2021-11-12 15:42:34

MySQL数据库权限

2020-12-24 17:40:00

MySQL角色管理数据库

2010-10-12 15:30:04

MySQL权限管理

2017-10-31 11:30:22

数据库MySQL权限管理

2017-07-11 09:21:40

quartzshiro权限框架

2024-03-15 11:47:19

Vue2前端权限控制

2022-01-07 07:29:08

Rbac权限模型

2024-09-05 15:52:03

Python文件权限

2009-12-23 15:55:53

Linux权限管理

2017-03-20 19:01:20

Linux管理员系统用户

2011-04-13 09:53:20

2013-11-21 09:10:27

MongoDB

2010-04-09 17:35:22

2010-01-19 22:25:56

IT运维管理Mocha ITOM摩卡软件

2010-01-19 10:25:31

网络管理v

2023-12-20 10:14:24

2023-11-02 09:03:24

权限管理系统

2010-10-12 16:29:02

MySQL权限表

2010-10-22 10:44:16

SQL Server权

2010-10-29 10:46:23

Oracle超级用户
点赞
收藏

51CTO技术栈公众号