Mysql入门详细解读MySQL中的权限

《Mysql入门详细解读MySQL中的权限》要点：
本文介绍了Mysql入门详细解读MySQL中的权限，希望对您有用。如果有疑问，可以联系我们。

MYSQL数据库一、前言

MYSQL数据库   很多文章中会说,数据库的权限按最小权限为原则,这句话本身没有错,但是却是一句空话.因为最小权限,这个东西太抽象,很多时候你并弄不清楚具体他需要哪些权限. 现在很多mysql用着root账户在操作,并不是大家不知道用root权限太大不安全,而是很多人并不知道该给予什么样的权限既安全又能保证正常运行.所以,本文更多的是考虑这种情况下,我们该如何简单的配置一个安全的mysql.注：本文测试环境为mysql-5.6.4
二、Mysql权限介绍

MYSQL数据库   mysql中存在4个控制权限的表,分别为user表,db表,tables_priv表,columns_priv表.

MYSQL数据库   mysql权限表的验证过程为：

MYSQL数据库1.先从user表中的Host,User,Password这3个字段中判断连接的ip、用户名、密码是否存在,存在则通过验证.

MYSQL数据库2.通过身份认证后,进行权限分配,按照user,db,tables_priv,columns_priv的顺序进行验证.即先检查全局权限表user,如果user中对应的权限为Y,则此用户对所有数据库的权限都为Y,将不再检查db, tables_priv,columns_priv；如果为N,则到db表中检查此用户对应的具体数据库,并得到db中为Y的权限；如果db中为N,则检查tables_priv中此数据库对应的具体表,取得表中的权限Y,以此类推.

MYSQL数据库三、mysql有哪些权限

MYSQL数据库

MYSQL数据库

MYSQL数据库四、数据库层面(db表)的权限分析

MYSQL数据库

MYSQL数据库五、mysql安全配置方案

MYSQL数据库   1 限制访问mysql端口的ip

MYSQL数据库   windows可以通过windows防火墙或者ipsec来限制,linux下可以通过iptables来限制.

MYSQL数据库   2 修改mysql的端口

MYSQL数据库   windows下可以修改配置文件my.ini来实现,linux可以修改配置文件my.cnf来实现.

MYSQL数据库   3 对所有用户设置强密码并严格指定对应账号的访问ip

MYSQL数据库   mysql中可在user表中指定用户的访问可访问ip

MYSQL数据库   4 root特权账号的处理

MYSQL数据库   建议给root账号设置强密码,并指定只容许本地登录

MYSQL数据库   5 日志的处理

MYSQL数据库   如需要可开启查询日志,查询日志会记录登录和查询语句.

MYSQL数据库   6 mysql进程运行账号

MYSQL数据库   在windows下禁止使用local system来运行mysql账户,可以考虑使用network service或者自己新建一个账号,但是必须给与mysql程序所在目录的读取权限和data目录的读取和写入权限； 在linux下,新建一个mysql账号,并在安装的时候就指定mysql以mysql账户来运行,给与程序所在目录的读取权限,data所在目录的读取和写入权限.

MYSQL数据库   7 mysql运行账号的磁盘权限

MYSQL数据库1)mysql运行账号需要给予程序所在目录的读取权限,以及data目录的读取和写入权限
2)不容许给予其他目录的写入和执行权限,特别是有网站的.
3)取消mysql运行账户对于cmd,sh等一些程序的执行权限.

MYSQL数据库   8 网站使用的mysql账户的处理

MYSQL数据库   新建一个账户,给予账户在所使用数据库的所有权限即可.这样既能保证网站对所对应的数据库的全部操作,也能保证账户不会因为权限过高而影响安全.给予单个数据库的所有权限的账户不会拥有super, process, file等管理权限的. 当然,如果能很明确是的知道,我的网站需要哪些权限,还是不要多给权限,因为很多时候发布者并不知道网站需要哪些权限,我才建议上面的配置.而且我指的通用的,具体到只有几台机器,不多的情况下,我个人建议还是给予只需要的权限,具体可参考上面的表格的建议.

MYSQL数据库   9 删除无用数据库

MYSQL数据库   test数据库对新建的账户默认有权限
六、mysql入侵提权分析及防止措施

MYSQL数据库   一般来说,mysql的提权有这么几种方式：

MYSQL数据库   1 udf提权

MYSQL数据库   此方式的关键导入一个dll文件,个人认为只要合理控制了进程账户对目录的写入权限即可防止被导入dll文件；然后如果万一被攻破,此时只要进程账户的权限够低,也没办执行高危操作,如添加账户等.

MYSQL数据库   2 写入启动文件

MYSQL数据库   这种方式同上,还是要合理控制进程账户对目录的写入权限.

MYSQL数据库   3 当root账户被泄露

MYSQL数据库   如果没有合理管理root账户导致root账户被入侵,此时数据库信息肯定是没办法保证了.但是如果对进程账户的权限控制住,以及其对磁盘的权限控制,服务器还是能够保证不被沦陷的.

MYSQL数据库   4 普通账户泄露(上述所说的,只对某个库有所有权限的账户)

MYSQL数据库   此处说的普通账户指网站使用的账户,我给的一个比较方便的建议是直接给予特定库的所有权限.账户泄露包括存在注入及web服务器被入侵后直接拿到数据库账户密码.

MYSQL数据库   此时,对应的那个数据库数据不保,但是不会威胁到其他数据库.而且这里的普通账户无file权限,所有不能导出文件到磁盘,当然此时还是会对进程的账户的权限严格控制.

MYSQL数据库   普通账户给予什么样的权限可以见上表,实在不会就直接给予一个库的所有权限.
七、安全配置需要的常用命令

MYSQL数据库   1.新建一个用户并给予相应数据库的权限
  

MYSQL数据库
 grant select,insert,update,delete,create,drop privileges on database.* to user@localhost identified by 'passwd';

MYSQL数据库
 grant all privileges on database.* to user@localhost identified by 'passwd';

MYSQL数据库     2.刷新权限

MYSQL数据库
flush privileges;

MYSQL数据库   3. 显示授权

MYSQL数据库
show grants;

MYSQL数据库   4. 移除授权

MYSQL数据库
revoke delete on *.* from 'jack'@'localhost';

MYSQL数据库   5. 删除用户

MYSQL数据库
drop user 'jack'@'localhost';

MYSQL数据库   6. 给用户改名

MYSQL数据库
rename user 'jack'@'%' to 'jim'@'%';

MYSQL数据库   7. 给用户改密码

MYSQL数据库
SET PASSWORD FOR 'root'@'localhost' = PASSWORD('123456');

MYSQL数据库   8. 删除数据库

MYSQL数据库
drop database test;

MYSQL数据库   9. 从数据库导出文件

MYSQL数据库
select * from a into outfile "~/abc.sql"

转载请注明本页网址：
http://www.vephp.com/jiaocheng/3700.html