第1部分:保护Root帐户
管理数据库用户是数据库管理员(DBA)的主要职责之一。DBA协调组织中的用户访问数据库的方式通常需要执行许多单独的任务,包括添加新用户,设置已离开组织的用户的访问权限以及帮助无法登录的用户。
MySQL附带了 mysqladmin 命令行客户端,用于执行管理操作。你可以使用此命令行客户端来检查服务器的配置、当前状态、创建和删除数据库等。 Navicat for MySQL 和 Premium 包含管理MySQL用户所需要的一切,所以你不需要再启动单独的命令窗口。在本系列中,我们将探讨如何在Navicat中执行常见的用户管理任务。 本篇文章主要介绍三个默认的MySQL用户帐户以及root用户的安全性。
虽然我们在本文中使用的是Navicat Premium,但请知晓,Navicat for MySQL具有相同的功能,只是专门针对MySQL。
默认用户帐户
用户管理功能可通过“User”按钮访问。单击后显示“Objects”选项卡,其中包含MySQL连接的所有已注册用户。
上图显示了默认用户帐户。在安装过程中,MySQL会创建三个被保留的用户帐户:
- 'root'@'localhost:超级用户。此帐户具有所有权限,可以执行任何操作。严格来说,此帐户名称不是保留的,因为你可以将root帐户重命名为其他帐户,避免公开具有高权限的帐户。
- 'mysql.sys'@'localhost':用作sys模式对象的DEFINER。使用mysql.sys帐户可以避免DBA重命名或删除root帐户时出现的问题。此帐户已锁定,因此无法用于客户端连接。
- 'mysql.session'@'localhost':在内部使用插件来访问服务器。此帐户也是锁定的,所以无法用于客户端连接。
编辑用户详情
如果我们想要查看/修改用户的详细信息,我们可以双击它或在“Objects”选项卡中突出显示它,然后单击“Objects”工具栏上的“Edit User”按钮。单击后会打开该用户的“Editor”选项卡。 它包含五个选项卡,分别为 General,Advanced,Server Privileges,Privileges 和 SQL Preview。我们将在下一部分中更详细地介绍这些选项卡,但是现在,让我们看看如何更改“General”选项卡上的数据来保护root帐户。
- 众所周知,“root”帐户是超级用户。所以,我们的第一个动作应该是将root账户名称更改为不太直观的内容,例如“secure_admin_99”。添加数字能使名称理解起来更加困难。
- 选择 sha256_password 插件。
在自5.5版以来的所有 MySQL Server 版本中,默认密码机制在 mysql_native_password 认证插件中已实现(默认情况下已启用)。此机制利用SHA1散列。虽然这个算法在 MySQL 4.1 被认为是安全的,但我们现在已经知道在未来几年内这个算法可能存在的弱点。
sha256_password 插件是在 MySQL Server 5.6 中引入的,它提供了另外的安全性,专注于密码存储。它通过解决使 mysql_native_password 易受攻击的两个关键元素来实现这一点,两个关键元素:hash computation(哈希计算)变得更加昂贵/耗时,并且输出是随机的。 此外,使用更强大的SHA-256算法可以消除对易受攻击的SHA1算法的依赖性。 - 提供强密码。强密码应该难以猜测或难以破解。 一个好的密码应具备:
- 至少八个字符长。
- 不包含你的用户名,真实姓名或公司名称。
- 不包含完整的单词。
- 与以前的密码有很大不同。
- 包含大写字母,小写字母,数字和符号。
- 提供过期密码政策。
通过指定时间间隔,我们可以让 MySQL 提示用户在经过一定天数后更改其密码,例如90天。
下图是 General 选项卡,其中包含更新的字段:
单击“Save”按钮更新帐户设置。
总结
本篇文章主要与大家分享了三个默认的MySQL用户帐户以及root用户的安全性。在下一篇文章中,我们将学习如何创建新用户并分配权限。