目录
前言
- 在企业信息化的过程中,数据库中库和表都会大量存在,需要分配给管理者核实的权限进行操作
- 合理地分配权限,可以使数据库管理井然有序,各个管理者只需要关注自己负责的内容,也可避免误操作对系统造成损失
一、用户与授权
- 数据库是信息系统中非常重要的一个环节,合理高效地对它进行管理是很重要的工作
- 通常是由总管理员创建不同的管理账户,然后分配不同的操作权限,把这些账户交给相应的管理人员使用
1.用户管理
1.1 新建用户
CREATE USER '用户名'@'来源地址' [IDENTIFIED BY [PASSWORD] '密码'];
- 用户名:将要创建的用户名
- 来源地址:
- 指定新创建的用户可在哪些主机上登录,可使用 IP 地址、网段、主机名的形式
- 本地用户可用 localhost
- 如果想让该用户可以从任意远程主机登录,可用通配符 %
- 密码:
- MySQL 5.7 版本启用了密码增强插件,新密码必须符合密码负载型要求,用户的登录密码不能为空
- 密码通常是需要经过加密处理再写入数据库,在不使用 password 关键字时,可以使用明文密码,直接输入"密码",插入到数据库时由 MySQL 自动加密
- 如果使用 password 关键字,可以直接插入密文,MySQL 不再进行加密处理
- 若使用加密密码,需要先使用select password(‘密码’); 获取密文,再在语句中添加 password ‘密文’
- 若省略“identified by”部分,则用户的密码将为空(不建议使用)
create user 'ghr13'@'localhost' identified by '123123';
select password('123123');
create user 'ghr5'@'localhost' identified by password
1.2 查看用户信息
创建后的用户保存在 mysql 数据库的 user 表里
USE mysql;
SELECT User,authentication_string,Host from user;
1.3 重命名用户
RENAME USER 'ghr13@localhost' TO 'wangsan'@'localhost';
select user,authentication_string,host from user;
1.4 删除用户
DROP USER 'ghr6'@'localhost';
select user,authentication_string,host from user;
1.5 给用户设置密码
1.5.1 修改当前用户登录密码
set password = password('zxc123');
quit
mysql -u root -p
1.5.2 修改其他用户密码
set password for 'ghr13'@'localhost' = PASSWORD('123123');
use mysql;
select user,authentication_string,host from user;
1.6 忘记 root 密码的解决办法
- 使用 MySQL 时,如果忘记了其他用户的密码,可以使用 root 用户重新设置
- 但是如果忘记 root 的密码,就需要采用特殊的方法进行操作
#修改 /etc/my.cnf 配置文件,可不使用密码直接登录到 mysql
vim /etc/my.cnf
[mysqld]
skip-grant-tables
#添加,使登录mysql不使用授权表
systemctl restart mysqld
mysql
#可直接登录
#使用 update 修改 root 密码,刷新数据库
UPDATE mysql.user SET AUTHENTICATION_STRING = PASSWORD('123123') where user='root';
FLUSH PRIVILEGES;
quit
#再去删除之前在 /etc/my.cnf 里新添加的内容,并重启服务
mysql -uroot -p123123
2.授权控制
- 在 MySQL 中,权限设置非常重要,分配权限可以清晰地划分责任
- 管理人员只需要关注自己的任务即可,最重要的是保证系统数据的安全
2.1 授予权限
- 权限控制主要是处于安全因素,因此需要遵循以下几个经验原则
- 只授予能满足需要的最小权限,防止用户误操作和干坏事
- 创建用户的时候限制用户的登录主机,一般是限制成指定 IP 或内网 IP 段
- 初始化数据库时删除没有密码的用户,因为安装完数据库时会自动创建一些用户,这些用户默认没有密码
- 为每个用户设置满足密码复杂度的密码
- 定期清理不需要的用户,如回收权限或删除用户
命令格式及用法如下
GRANT语句:专门用来设置数据库用户的访问权限。当指定的用户名不存在时,GRANT语句将会创建新的用户;当指定的用户名存在时,GRANT 语句用于修改用户信息。
GRANT 权限列表 ON 数据库名.表名 TO '用户名'@'来源地址' [IDENTIFIED BY '密码'];
#权限列表:用于列出授权使用的各种数据库操作,以逗号进行分隔,如“select,insert,update”;使用“all”表示所有权限,可授权执行任何操作
#数据库名.表名:用于指定授权操作的数据库和表的名称,其中可以使用通配符“*”。*例如,使用“xcf.*”表示授权操作的对象为 xcf 数据库中的所有表
#'用户名@来源地址':用于指定用户名称和允许访问的客户机地址,即谁能连接、能从哪里连接;来源地址可以是域名、IP 地址,还可以使用“%”通配符,表示某个区域或网段内的所有地址,如“%.xcf.com”、“192.168.126.%”等
#IDENTIFIED BY:用于设置用户连接数据库时所使用的密码字符串;在新建用户时,若省略“IDENTIFIED BY”部分, 则用户的密码将为空
实例:允许用户ghr13在本地查询 class 数据库中所有表的数据记录,但禁止查询其他数据库中的表的记录
GRANT select on class.* to 'ghr13'@'localhost' identified by '123123';
quit;
mysql -ughr13 -p123123
show databases;
use information_schema;
show tables;
select * from INNODB_SYS_TABLESTATS;
- 允许用户ghr13在本地远程连接 mysql ,并拥有所有权限
quit
mysql -u root -p123123
GRANT ALL PRIVILEGES ON *.* TO 'ghr13'@'localhost' IDENTIFIED BY '123456';
flush privileges;
quit
mysql -ughr13 -p123123
show databases;
use class;
show tables;
select * from test01
2.2 查看权限
SHOW GRANTS FOR 用户名@来源地址;
例:
show grants for 'ghr13'@'localhost';
2.3 撤销权限
REVOKE 权限列表 ON 数据库名.表名 FROM 用户名@来源地址;
例:
quit
mysql -uroot -p123123
show grants for 'wangsan'@'localhost';
revoke select on "class".* from 'wangsan'@'localhost';
show grants for 'wangsan'@'localhost';
flush privileges;
#撤销权限后,该用户只保留登录权限
