mysql权限

1.DCL数据库控制语言

（Data Control Language 数据库控制语言）

• 数据库授权、角色控制等操作

• GRANT用户授权，为用户赋予访问权限

• REVOKE取消权限，撤回授权权限

2.MySQL权限表

2.1mysql.user

• 用户字段：Host、User、Password

• 权限字段：_Priv结尾的字段

• 安全字段：ssl x509字段

• 资源控制字段：max_开头的字段

2.2mysql.db

• 用户字段：Host、User、Password

• 权限字段：剩下的_priv结尾的字段

2.3mysql.tables_priv，mysql.columns_priv、procs_priv

• 表、列、存储过程的授权表

2.4授权级别排列

• mysql.user #全局授权

• mysql.db #数据库级别授权

• 其他#表级，列级授权

2.5数据库和表格式

数据库.*           数据库中的所有
数据库.表名              指定数据库中的某张表
数据库名.存储过程       指定数据库中的存储过程
*.*                     所有数据库

2.6用户和IP格式

用户名@IP地址        用户名只能在改IP下才能访问
用户名@192.168.1.%     用户名只能在改IP段下才能访问(通配符%表示任意)
用户名@%.123.com
用户名@%               用户可以再任意IP下访问(默认IP地址为%)

3.MySQL用户管理

3.1创建用户

//创建用户及权限
> create user 'zhangsan'@'localhost' identified by 'A.123com';
> grant all on *.* to 'zhangsan'@'192.168.0.%' identified by 'A.123com';
> select user,host from mysql.user;
​
# mysql -h192.168.0.2 -uzhangsan -p'A.123com';

　　

3.2删除用户

//删除用户
> drop user 'zhangsan'@'192.168.0.%';
//delete语句删除
> delete from mysql.user where user='zhangsan' and host='localhost';

　　

3.3修改用户

//修改用户
> rename user 'zhangsan'@'192.168.0.%' to 'lisi'@'192.168.0.%';

　　

3.4修改密码

3.4.1root修改密码

> flush privileges;
//方法一
# mysqladmin -uroot -p'A.123com' password 'A.1234com'
//方法二
> alter user 'root'@'localhost' identified by 'A.123com';
//方法三
> SET PASSWORD=password('A.123com');

　　

3.4.2root修改其他用户密码

> alter user 'zhangsan'@'192.168.0.%' identified by 'A.123com';
> grant select on *.* to 'zhangsan'@'192.168.0.%' identified by 'A.123com';

　　

3.4.3普通用户修改自己密码

> set password=password('A.123com');

　　

3.5root找回密码

# vim /etc/my.cnf
...
//设置免密码登录
skip-grant-tables
# systemctl restart mysqld
# mysql
> use mysql;
> update user set authentication_string=password('A.123com') where user='root';
//最后配置文件改回来

　　

4.密码策略

4.1安装密码插件

• MySQL默认启用了复杂度设置，插件：validate_password

> install plugin validate_password soname 'validate_password.so'

　　

4.2修改配置文件

# vim /etc/my.cnf
[mysqld]
plugin-load=validate_password.so
balidate_password_policy=0
validate-password=FORCE_PLUS_PERMANENT

4.3策略

• validate_password_policy

  • 代表的密码策略，可配置的值有以下：默认MEDIUM

  • 0 or LOW仅需符合密码长度(由validate_password_length指定)

  • 1 or MEDIUM满足LOW策略通知还需要满足至少1个数字，小写字母，大写字母和特殊字符

  • 2 or STRONG满足MEDIUM策略，同时密码不能存在（与字典密码相同）字典文件（dictionary file）中

• validate_password_dictionary_file

  • 用于配置密码的字典文件，当validate_password_policy设置为STRONG时可以配置密码字典文件，字典文件存在的面不得使用。

• validate_password_length

  • 用来设置密码的最小长度，默认值是8，最小是4

• validate_password_mixed_case_count

  • 大小写的最小个数

• validate_password_number_count

  • 密码中数字的最小个数

• validate_password_special_char_count

  • 特殊字符的最小个数

> show variables like 'validate%';	//查看密码策略规则
> set global validate_password_length=1;	//至少为4位
> set global validate_policy=0;		//关闭密码复杂度

> grant all on *.* to 'zhangsan'@'%' identified by '1234';
> flush privileges;

> select @@validate_password_policy;	//查看密码复杂性策略
LOW
> select @@validate_password_length;	//查看密码复杂性最短长度

　　

5.权限回收

• 被回收的权限必须存在，否则出错

• 整个服务器，使用GRANT ALL和REVOKE ALL；

• 整个数据库，使用ON datebase.*

• 特定的表：使用ON datebase.table

> show grants for 'zhangsan'@'%';	//查看用户权限
GRANT SELECT,INSERT,... ON *.* to 'zhangsan'@'%'
> revoke select on *.* from 'zhangsan'@'%';		//回收select
> revoke all on *.* from 'zhangsan'@'%';	//回收所有权限


> show grants for 'zhangsan2'@'%';
GRANT ALL PRIVILEGES ON `test`.* to 'zhangsan2'@'%'
> revoke select,insert on test.* from zhangsan2@'%';
> show grants for 'zhangsan2'@'%';	//select,insert被去掉
GRANT UPDATE,... ON `test`.* to 'zhangsan2'@'%'

> flush privileges;

• flush privileges是将当前user和privilege表中的用户信息/权限设置从mysql库（MySQL数据库的内置库）中提取到内存里

• MySQL用户数据和权限有修改后，搜索希望在“不重启MySQL服务器”的情况下直接生效，那么就需要执行这个命令。

6.授权及设置密码

6.1授权及设置密码

• 可以简化多次授权，并用逗号分隔

• GRANT需要明确一下信息

  • 要授予的权限

  • 被授予权限的数据库或表

  • 用户名

权限	权限级别	权限说明
CREATE	数据库、表或索引	创建数据库、表或索引权限
DROP	数据库或表	删除数据库或表权限
GRANT OPTION	数据库、表或保存的程序	赋予权限选项
PEFERENCES	数据库或表
ALTER	表	更改，比如添加字段、索引等
DELETE	表	删除数据权限
INDEX	表	索引权限
INSERT	表	插入权限
SELECT	表	查询权限

UPDATE	表	更新权限
CREATE VIEW	视图	创建试图权限
SHOW VIEW	视图	查看视图权限
ALTER ROUTINE	存储过程	更改存储过程权限
CREATE ROUTINE	存储过程	创建存储过程权限
EXECUTE	存储过程	执行存储过程权限
FILE	服务器主机上的文件访问	文件访问权限
CREATE TEMPOPARY TABLE	服务器管理	创建临时表权限
LOCK TABLES	服务器管理	锁表权限
CREATE USER	服务器管理	创建用户权限
RELOAD	服务器管理	执行flush-hosts,flush-logs,flush-privileges,flush-status,flush-tables,flush-threads,refresh,reload等命令的权限
PROCESS	服务器管理	查看进程权限
REPLICATION CLIENT	服务器管理	复制权限
REPLICATION SLAVE	服务器管理	复制权限
SHOW DATABASES	服务器管理	查看数据库权限
SHUTDOWN	服务器管理	关闭数据库权限
SUPER	服务期管理	执行kill线程权限

权限分布	设置的权限
表权限	'select','Insert','Update','Delete','Create','Drop','Grant','References','index','Alter'
列权限	'Select','Insert','Update','References'
过程权限	'Execute','Alter Routine','Grant'

6.2实例

> grant all on *.* to 'zhangsan'@'%' identified by '1234';		//密码策略已改
> show grants for zhangsan@'%';