云安全:数据库权限的分配与回收

运维 数据库运维
数据安全的最重要措施就是数据库账号的权限管理,通常情况下数据库账号会分配给应用程序、开发人员以及数据库管理员(DBA),还有可能分配给其他需要利用数据进行分析的非技术人员。

[[416067]]

 数据库权限

数据库权限主要是以用户可以允许执行的SQL语句来划分,SQL语言可以分为四类操作:数据查询语言DQL,数据操纵语言DML,数据定义语言DDL,数据控制语言DCL。

非技术人员通常只能使用DQL语句,这也是权限最低的SQL操作。数据查询语言的基本结构是由SELECT子句、FROM子句WHERE子句构成。

SELECT <字段名表> FROM <表或视图名> WHERE <查询条件>

现在很多数据分析人员,都可以熟练使用SQL语言进行自定义查询,不再需要技术人员开发报表功能。

开发人员的权限管理

对于一般开发人员的权限分配,除了DQL以外,还有DML,也就是要满足增删改查(CRUD)的需求。

以下语句就是分别为普通开发人员 zhangsan 分配 MySQL 数据库的增删改查权限,delete操作要慎重分配。

 

  1. grant select on testdb.* to zhangsan@’%’ 
  2. grant insert on testdb.* to zhangsan@’%’ 
  3. grant update on testdb.* to zhangsan@’%’ 
  4. grant delete on testdb.* to zhangsan@' %’ 

 

对于高级开发人员的权限分配,主要需要数据定义语言DDL,利用DDL语句来创建数据库中的各种对象-----表(Table)、视图(View)、索引(Index)等。这种操作通常需要由有经验的开发人员来完成。

以下语句实现了通过 grant 语句来分配创建、修改和删除 MySQL 数据表结构的权限。

 

  1. grant create on testdb.* to lisi@’192.168.0.%’; 
  2. grant alter on testdb.* to lisi@’192.168.0.%’; 
  3. grant drop on testdb.* to lisi@’192.168.0.%’; 

 

分配创建 MySQL 外键权限。

 

  1. grant references on testdb.* to lisi@’192.168.0.%’; 

分配创建 MySQL 临时表权限。

 

  1. grant create temporary tables on testdb.* to lisi@’192.168.0.%’; 

分配创建 MySQL 索引权限。

 

  1. grant index on testdb.* to lisi@’192.168.0.%’; 

分配创建 MySQL 视图、查看视图源代码权限。

 

  1. grant create view on testdb.* to lisi@’192.168.0.%’; 
  2. grant show view on testdb.* to lisi@’192.168.0.%’; 

 

分配创建 MySQL 存储过程、函数权限。

 

  1. grant create routine on testdb.* to lisi@’192.168.0.%’; — now, can show procedure status 
  2. grant alter routine on testdb.* to lisi@’192.168.0.%’; — now, you can drop a procedure 
  3. grant execute on testdb.* to lisi@’192.168.0.%’; 

 

更高权限的分配

数据控制语言DCL用来授予或回收访问数据库的某种特权,并控制数据库操纵事务发生的时间及效果,对数据库实行监视等,通常这种特殊权限会分配给DBA使用。如:

  • GRANT:授权。
  • ROLLBACK [WORK] TO [SAVEPOINT]:回退到某一点。回滚命令使数据库状态回到上次最后提交的状态。
  • COMMIT [WORK]:提交。

以下语句将testdb的所有权限都分配给dba账户

 

  1. grant all privileges on testdb to dba@’localhost’ 

其中,关键字 “privileges” 可以省略。

以下语句更厉害,将使得高级 DBA 获得管理 MySQL 中所有数据库的权限。

 

  1. grant all on *.* to dba@’localhost’ 

权限的撤销

使用revoke语句可以撤销已经赋予给 MySQL 用户权限的权限。revoke 跟 grant 的语法差不多,只需要把关键字 “to” 换成 “from” 即可:

 

  1. grant all on *.* to dba@localhost; 
  2. revoke all on *.* from dba@localhost; 

 

在使用grant 或 revoke语句分配或撤销权限后,该用户只有重新连接 MySQL 数据库,新的权限才能生效。

总结

在数据库权限分配和管理中,应当严格区分账户的用途,并按照最小可用原则分配对应的权限。当账户不再使用以后,应当立即收回权限。

责任编辑:华轩 来源: 今日头条
相关推荐

2017-03-14 13:57:15

数据库权限分配探讨

2015-01-19 10:18:53

Azure SQL数据库审计云安全

2010-09-02 09:52:52

2011-01-10 10:45:20

SQL Server数

2014-11-12 15:15:31

云安全

2010-01-12 12:26:58

数据备份云安全数据销毁

2009-02-16 15:29:00

2010-11-03 14:38:46

2012-07-02 09:14:41

云安全云计算数据安全

2023-07-31 12:47:59

2013-06-04 09:32:22

2011-03-10 13:24:26

2011-08-10 15:46:29

数据库

2011-03-07 15:54:30

2015-10-30 15:05:08

Sybase数据库安全

2023-11-15 09:38:49

Oracle数据库

2016-01-06 10:45:10

2013-10-08 09:54:41

数据库安全数据库管理

2010-06-28 10:06:09

SQL Server数

2011-08-02 10:15:51

点赞
收藏

51CTO技术栈公众号