中文字幕在线观看,亚洲а∨天堂久久精品9966,亚洲成a人片在线观看你懂的,亚洲av成人片无码网站,亚洲国产精品无码久久久五月天

MySQL管理員如何設(shè)置MySQL用戶賬號(hào)

1970-01-01    來(lái)源:

容器云強(qiáng)勢(shì)上線!快速搭建集群,上萬(wàn)Linux鏡像隨意使用


MySQL管理員應(yīng)該知道如何設(shè)置MySQL用戶賬號(hào),指出哪個(gè)用戶可以連接服務(wù)器,從哪里連接,連接后能做什么。MySQL?3.22.11開(kāi)始引入兩條語(yǔ)句使得這項(xiàng)工作更容易做:GRANT語(yǔ)句創(chuàng)建MySQL用戶并指定其權(quán)限,而REVOKE語(yǔ)句刪除權(quán)限。兩條語(yǔ)句扮演了mysql數(shù)據(jù)庫(kù)的前端角色,并提供與直接操作這些表的內(nèi)容不同的另一種方法。CREATE和REVOKE語(yǔ)句影響4個(gè)表:授權(quán)表內(nèi)容?
user?能連接服務(wù)器的用戶以及他們擁有的任何全局權(quán)限?
db?數(shù)據(jù)庫(kù)級(jí)權(quán)限?
tables_priv?表級(jí)權(quán)限?
columns_priv?列級(jí)權(quán)限?

還有第5個(gè)授權(quán)表(host),但它不受GRANT和REVOKE的影響。?
當(dāng)你對(duì)一個(gè)用戶發(fā)出一條GRANT語(yǔ)句時(shí),在user表中為該用戶創(chuàng)建一條記錄。如果語(yǔ)句指定任何全局權(quán)限(管理權(quán)限或適用于所有數(shù)據(jù)庫(kù)的權(quán)限),這些也記錄在user表中。如果你指定數(shù)據(jù)庫(kù)、表和列級(jí)權(quán)限,他們被分別記錄在db、tables_priv和columns_priv表中。?
用GRANT和REVOKE比直接修改授權(quán)表更容易些,然而,建議你閱讀一下《MySQL安全性指南》。這些表異常重要,而且作為一名管理員,你應(yīng)該理解它們?nèi)绾纬紾RANT和REVOKE語(yǔ)句的功能水平。?
在下面的章節(jié)中,我們將介紹如何設(shè)置MySQL用戶賬號(hào)并授權(quán)。我們也涉及如何撤權(quán)和從授權(quán)表中刪除用戶。?
你可能也想考慮使用mysqlaccess和mysql_setpermission腳本,它是MySQL分發(fā)的一部分,它們是Perl腳本,提供GRANT語(yǔ)句的另一種選擇設(shè)置用戶賬號(hào)。mysql_setpermission需要安裝DBI支持。?
1?創(chuàng)建用戶并授權(quán)?

GRANT語(yǔ)句的語(yǔ)法看上去像這樣:GRANT?privileges?(columns)?ON?what?TO?user?IDENTIFIED?BY?"password"?WITH?GRANT?OPTION?
要使用該語(yǔ)句,你需要填寫(xiě)下列部分:?
privileges?

授予用戶的權(quán)限,下表列出可用于GRANT語(yǔ)句的權(quán)限指定符:?
權(quán)限指定符?
權(quán)限允許的操作?
ALTER?修改表和索引?
CREATE?創(chuàng)建數(shù)據(jù)庫(kù)和表?
DELETE?刪除表中已有的記錄?
DROP?拋棄(刪除)數(shù)據(jù)庫(kù)和表?
INDEX?創(chuàng)建或拋棄索引?
INSERT?向表中插入新行?
REFERENCE?未用?
SELECT?檢索表中的記錄?
UPDATE?修改現(xiàn)存表記錄?
FILE?讀或?qū)懛⻊?wù)器上的文件?
PROCESS?查看服務(wù)器中執(zhí)行的線程信息或殺死線程?
RELOAD?重載授權(quán)表或清空日志、主機(jī)緩存或表緩存。?
SHUTDOWN?關(guān)閉服務(wù)器?
ALL?所有;ALL?PRIVILEGES同義詞?
USAGE?特殊的“無(wú)權(quán)限”權(quán)限?

上表顯示在第一組的權(quán)限指定符適用于數(shù)據(jù)庫(kù)、表和列,第二組數(shù)管理權(quán)限。一般,這些被相對(duì)嚴(yán)格地授權(quán),因?yàn)樗鼈冊(cè)试S用戶影響服務(wù)器的操作。第三組權(quán)限特殊,ALL意味著“所有權(quán)限”,UASGE意味著無(wú)權(quán)限,即創(chuàng)建用戶,但不授予權(quán)限。?
columns?

權(quán)限運(yùn)用的列,它是可選的,并且你只能設(shè)置列特定的權(quán)限。如果命令有多于一個(gè)列,應(yīng)該用逗號(hào)分開(kāi)它們。?
what?

權(quán)限運(yùn)用的級(jí)別。權(quán)限可以是全局的(適用于所有數(shù)據(jù)庫(kù)和所有表)、特定數(shù)據(jù)庫(kù)(適用于一個(gè)數(shù)據(jù)庫(kù)中的所有表)或特定表的?梢酝ㄟ^(guò)指定一個(gè)columns字句是權(quán)限是列特定的。?
user?

權(quán)限授予的用戶,它由一個(gè)用戶名和主機(jī)名組成。在MySQL中,你不僅指定誰(shuí)能連接,還有從哪里連接。這允許你讓兩個(gè)同名用戶從不同地方連接。MySQL讓你區(qū)分他們,并彼此獨(dú)立地賦予權(quán)限。?
MySQL中的一個(gè)用戶名就是你連接服務(wù)器時(shí)指定的用戶名,該名字不必與你的Unix登錄名或Windows名聯(lián)系起來(lái)。缺省地,如果你不明確指定一個(gè)名字,客戶程序?qū)⑹褂媚愕牡卿浢鳛镸ySQL用戶名。這只是一個(gè)約定。你可以在授權(quán)表中將該名字改為nobody,然后以nobody連接執(zhí)行需要超級(jí)用戶權(quán)限的操作。?
password?

賦予用戶的口令,它是可選的。如果你對(duì)新用戶沒(méi)有指定IDENTIFIED?BY子句,該用戶不賦給口令(不安全)。對(duì)現(xiàn)有用戶,任何你指定的口令將代替老口令。如果你不指定口令,老口令保持不變,當(dāng)你用IDENTIFIED?BY時(shí),口令字符串用改用口令的字面含義,GRANT將為你編碼口令,不要象你用SET?PASSWORD?那樣使用password()函數(shù)。?
WITH?GRANT?OPTION子句是可選的。如果你包含它,用戶可以授予權(quán)限通過(guò)GRANT語(yǔ)句授權(quán)給其它用戶。你可以用該子句給與其它用戶授權(quán)的能力。?
用戶名、口令、數(shù)據(jù)庫(kù)和表名在授權(quán)表記錄中是大小寫(xiě)敏感的,主機(jī)名和列名不是。?
一般地,你可以通過(guò)詢(xún)問(wèn)幾個(gè)簡(jiǎn)單的問(wèn)題來(lái)識(shí)別GRANT語(yǔ)句的種類(lèi):?
誰(shuí)能連接,從那兒連接??
用戶應(yīng)該有什么級(jí)別的權(quán)限,他們適用于什么??
用戶應(yīng)該允許管理權(quán)限嗎??

下面就討論一些例子。?
1.1?誰(shuí)能連接,從那兒連接??

你可以允許一個(gè)用戶從特定的或一系列主機(jī)連接。有一個(gè)極端,如果你知道降職從一個(gè)主機(jī)連接,你可以將權(quán)限局限于單個(gè)主機(jī):GRANT?ALL?ON?samp_db.*?TO?boris@localhost?IDENTIFIED?BY?"ruby"GRANT?ALL?ON?samp_db.*?TO?fred@res.mars.com?IDENTIFIED?BY?"quartz"?
(samp_db.*意思是“samp_db數(shù)據(jù)庫(kù)的所有表)另一個(gè)極端是,你可能有一個(gè)經(jīng)常旅行并需要能從世界各地的主機(jī)連接的用戶max。在這種情況下,你可以允許他無(wú)論從哪里連接:GRANT?ALL?ON?samp_db.*?TO?max@%?IDENTIFIED?BY?"diamond"?
“%”字符起通配符作用,與LIKE模式匹配的含義相同。在上述語(yǔ)句中,它意味著“任何主機(jī)”。所以max和max@%等價(jià)。這是建立用戶最簡(jiǎn)單的方法,但也是最不安全的。?
取其中,你可以允許一個(gè)用戶從一個(gè)受限的主機(jī)集合訪問(wèn)。例如,要允許mary從snake.net域的任何主機(jī)連接,用一個(gè)%.snake.net主機(jī)指定符:GRANT?ALL?ON?samp_db.*?TO?mary@.snake.net?IDENTIFIED?BY?"quartz";?
如果你喜歡,用戶標(biāo)識(shí)符的主機(jī)部分可以用IP地址而不是一個(gè)主機(jī)名來(lái)給定。你可以指定一個(gè)IP地址或一個(gè)包含模式字符的地址,而且,從MySQL?3.23,你還可以指定具有指出用于網(wǎng)絡(luò)號(hào)的位數(shù)的網(wǎng)絡(luò)掩碼的IP號(hào):?GRANT?ALL?ON?samp_db.*?TO?boris@192.168.128.3?IDENTIFIED?BY?"ruby"?GRANT?ALL?ON?samp_db.*?TO?fred@192.168.128.%?IDENTIFIED?BY?"quartz"?GRANT?ALL?ON?samp_db.*?TO?rex@192.168.128.0/17?IDENTIFIED?BY?"ruby"?
第一個(gè)例子指出用戶能從其連接的特定主機(jī),第二個(gè)指定對(duì)于C類(lèi)子網(wǎng)192.168.128的IP模式,而第三條語(yǔ)句中,192.168.128.0/17指定一個(gè)17位網(wǎng)絡(luò)號(hào)并匹配具有192.168.128頭17位的IP地址。?
如果MySQL抱怨你指定的用戶值,你可能需要使用引號(hào)(只將用戶名和主機(jī)名部分分開(kāi)加引號(hào))。GRANT?ALL?ON?samp_db.president?TO?"my?friend"@"boa.snake.net"?
1.2?用戶應(yīng)該有什么級(jí)別的權(quán)限和它們應(yīng)該適用于什么??

你可以授權(quán)不同級(jí)別的權(quán)限,全局權(quán)限是最強(qiáng)大的,因?yàn)樗鼈冞m用于任何數(shù)據(jù)庫(kù)。要使ethel成為可做任何事情的超級(jí)用戶,包括能授權(quán)給其它用戶,發(fā)出下列語(yǔ)句:GRANT?ALL?ON?*.*?TO?ethel@localhost?IDENTIFIED?BY?"coffee"?WITH?GRANT?OPTION?ON子句中的*.*意味著“所有數(shù)據(jù)庫(kù)、所有表”。從安全考慮,我們指定ethel只能從本地連接。限制一個(gè)超級(jí)用戶可以連接的主機(jī)通常是明智的,因?yàn)樗拗屏嗽噲D破解口令的主機(jī)。?
有些權(quán)限(FILE、PROCESS、RELOAD和SHUTDOWN)是管理權(quán)限并且只能用"ON?*.*"全局權(quán)限指定符授權(quán)。如果你愿意,你可以授權(quán)這些權(quán)限,而不授權(quán)數(shù)據(jù)庫(kù)權(quán)限。例如,下列語(yǔ)句設(shè)置一個(gè)flush用戶,他只能發(fā)出flush語(yǔ)句。這可能在你需要執(zhí)行諸如清空日志等的管理腳本中會(huì)有用:GRANT?RELOAD?ON?*.*?TO?flushl@localhost?IDENTIFIED?BY?"flushpass"?一般地,你想授權(quán)管理權(quán)限,吝嗇點(diǎn),因?yàn)閾碛兴鼈兊挠脩艨梢杂绊懩愕姆⻊?wù)器的操作。?
數(shù)據(jù)庫(kù)級(jí)權(quán)限適用于一個(gè)特定數(shù)據(jù)庫(kù)中的所有表,它們可通過(guò)使用ON?db_name.*子句授予:GRANT?ALL?ON?samp_db?TO?bill@racer.snake.net?INDETIFIED?BY?"rock"?GRANT?SELECT?ON?samp_db?TO?ro_user@%?INDETIFIED?BY?"rock"?
第一條語(yǔ)句向bill授權(quán)samp_db數(shù)據(jù)庫(kù)中所有表的權(quán)限,第二條創(chuàng)建一個(gè)嚴(yán)格限制訪問(wèn)的用戶ro_user(只讀用戶),只能訪問(wèn)samp_db數(shù)據(jù)庫(kù)中的所有表,但只有讀取,即用戶只能發(fā)出SELECT語(yǔ)句。?
你可以列出一系列同時(shí)授予的各個(gè)權(quán)限。例如,如果你想讓用戶能讀取并能修改現(xiàn)有數(shù)據(jù)庫(kù)的內(nèi)容,但不能創(chuàng)建新表或刪除表,如下授予這些權(quán)限:GRANT?SELECT,INSERT,DELETE,UPDATE?ON?samp_db?TO?bill@snake.net?INDETIFIED?BY?"rock"?
對(duì)于更精致的訪問(wèn)控制,你可以在各個(gè)表上授權(quán),或甚至在表的每個(gè)列上。當(dāng)你想向用戶隱藏一個(gè)表的部分時(shí),或你想讓一個(gè)用戶只能修改特定的列時(shí),列特定權(quán)限非常有用。如:GRANT?SELECT?ON?samp_db.member?TO?bill@localhost?INDETIFIED?BY?"rock"GRANT?UPDATE?(expiration)?ON?samp_db.?member?TO?bill@localhost?
第一條語(yǔ)句授予對(duì)整個(gè)member表的讀權(quán)限并設(shè)置了一個(gè)口令,第二條語(yǔ)句增加了UPDATE權(quán)限,當(dāng)只對(duì)expiration列。沒(méi)必要再指定口令,因?yàn)榈谝粭l語(yǔ)句已經(jīng)指定了。?
如果你想對(duì)多個(gè)列授予權(quán)限,指定一個(gè)用逗號(hào)分開(kāi)的列表。例如,對(duì)assistant用戶增加member表的地址字段的UPDATE權(quán)限,使用如下語(yǔ)句,新權(quán)限將加到用戶已有的權(quán)限中:?
GRANT?UPDATE?(street,city,state,zip)?ON?samp_db?TO?assistant@localhost?
通常,你不想授予任何比用戶確實(shí)需要的權(quán)限寬的權(quán)限。然而,當(dāng)你想讓用戶能創(chuàng)建一個(gè)臨時(shí)表以保存中間結(jié)果,但你又不想讓他們?cè)谝粋(gè)包含他們不應(yīng)修改內(nèi)容的數(shù)據(jù)庫(kù)中這樣做時(shí),發(fā)生了要授予在一個(gè)數(shù)據(jù)庫(kù)上的相對(duì)寬松的權(quán)限。你可以通過(guò)建立一個(gè)分開(kāi)的數(shù)據(jù)庫(kù)(如tmp)并授予開(kāi)數(shù)據(jù)庫(kù)上的所有權(quán)限來(lái)進(jìn)行。例如,如果你想讓來(lái)自mars.net域中主機(jī)的任何用戶使用tmp數(shù)據(jù)庫(kù),你可以發(fā)出這樣的GRANT語(yǔ)句:?
GRANT?ALL?ON?tmp.*?TO?""@mars.net?
在你做完之后,用戶可以創(chuàng)建并用tmp.tbl_name形式引用tmp中的表(在用戶指定符中的""創(chuàng)建一個(gè)匿名用戶,任何用戶均匹配空白用戶名)。?
1.3?用戶應(yīng)該被允許管理權(quán)限嗎??

你可以允許一個(gè)數(shù)據(jù)庫(kù)的擁有者通過(guò)授予數(shù)據(jù)庫(kù)上的所有擁有者權(quán)限來(lái)控制數(shù)據(jù)庫(kù)的訪問(wèn),在授權(quán)時(shí),指定WITH?GRANT?OPTION。例如:如果你想讓alicia能從big.corp.com域的任何主機(jī)連接并具有sales數(shù)據(jù)庫(kù)中所有表的管理員權(quán)限,你可以用如下GRANT語(yǔ)句:?
GRANT?ALL?ON?sales.*?TO?alicia@%.big.corp.com?INDETIFIED?BY?"applejuice"?WITH?GRANT?OPTION?在效果上WITH?GRANT?OPTION子句允許你把訪問(wèn)授權(quán)的權(quán)利授予另一個(gè)用戶。要注意,擁有GRANT權(quán)限的兩個(gè)用戶可以彼此授權(quán)。如果你只給予了第一個(gè)用戶SELECT權(quán)限,而另一個(gè)用戶有GRANT加上SELECT權(quán)限,那么第二個(gè)用戶可以是第一個(gè)用戶更“強(qiáng)大”。?
2?撤權(quán)并刪除用戶?

要取消一個(gè)用戶的權(quán)限,使用REVOKE語(yǔ)句。REVOKE的語(yǔ)法非常類(lèi)似于GRANT語(yǔ)句,除了TO用FROM取代并且沒(méi)有INDETIFED?BY和WITH?GRANT?OPTION子句:?
REVOKE?privileges?(columns)?ON?what?FROM?user?
user部分必須匹配原來(lái)GRANT語(yǔ)句的你想撤權(quán)的用戶的user部分。privileges部分不需匹配,你可以用GRANT語(yǔ)句授權(quán),然后用REVOKE語(yǔ)句只撤銷(xiāo)部分權(quán)限。?
REVOKE語(yǔ)句只刪除權(quán)限,而不刪除用戶。即使你撤銷(xiāo)了所有權(quán)限,在user表中的用戶記錄依然保留,這意味著用戶仍然可以連接服務(wù)器。要完全刪除一個(gè)用戶,你必須用一條DELETE語(yǔ)句明確從user表中刪除用戶記錄:%mysql?-u?root?mysqlmysql>DELETE?FROM?user?->WHERE?User="user_name"?and?Host="host_name";mysql>FLUSH?PRIVILEGES;DELETE語(yǔ)句刪除用戶記錄,而FLUSH語(yǔ)句告訴服務(wù)器重載授權(quán)表。(當(dāng)你使用GRANT和REVOKE語(yǔ)句時(shí),表自動(dòng)重載,而你直接修改授權(quán)表時(shí)不是。)

標(biāo)簽: Mysql 安全 服務(wù)器 腳本 權(quán)限 數(shù)據(jù)庫(kù) 網(wǎng)絡(luò) 問(wèn)題 選擇 用戶

版權(quán)申明:本站文章部分自網(wǎng)絡(luò),如有侵權(quán),請(qǐng)聯(lián)系:west999com@outlook.com
特別注意:本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)!
本站所提供的圖片等素材,版權(quán)歸原作者所有,如需使用,請(qǐng)與原作者聯(lián)系。

上一篇:提供指導(dǎo)性的IIS排錯(cuò)

下一篇:如何利用IIS本身的一些特性建立后門(mén)