MySQL權限管理實戰!
本文轉載自微信公眾號「MySQL技術」,作者MySQL技術。轉載本文請聯系MySQL技術公眾號。
前言:
不清楚各位同學對數據庫用戶權限管理是否了解,作為一名 DBA ,用戶權限管理是繞不開的一項工作內容。特別是生產庫,數據庫用戶權限更應該規范管理。本篇文章將會介紹下 MySQL 用戶權限管理相關內容。
1.用戶權限簡介
當我們創建過數據庫用戶后,還不能執行任何操作,需要為該用戶分配適當的訪問權限。
關于 MySQL 用戶權限簡單的理解就是數據庫只允許用戶做你權利以內的事情,不可以越界。比如只允許你執行 select 操作,那么你就不能執行 update 操作。只允許你從某個 IP 上連接 MySQL ,那么你就不能從除那個 IP 以外的其他機器連接 MySQL 。
在 MySQL 中,用戶權限也是分級別的,可以授予的權限有如下幾組:
- 列級別,和表中的一個具體列相關。例如,可以使用 UPDATE 語句更新表 students 中 student_name 列的值的權限。
- 表級別,和一個具體表中的所有數據相關。例如,可以使用 SELECT 語句查詢表 students 的所有數據的權限。
- 數據庫級別,和一個具體的數據庫中的所有表相關。例如,可以在已有的數據庫 mytest 中創建新表的權限。
- 全局,和 MySQL 中所有的數據庫相關。例如,可以刪除已有的數據庫或者創建一個新的數據庫的權限。
權限信息存儲在 mysql 系統庫的 user、db、tables_priv、columns_priv、procs_priv 這幾個系統表中。
- user 表:存放用戶賬戶信息以及全局級別(所有數據庫)權限。
- db 表:存放數據庫級別的權限,決定了來自哪些主機的哪些用戶可以訪問此數據庫。
- tables_priv 表:存放表級別的權限,決定了來自哪些主機的哪些用戶可以訪問數據庫的這個表。
- columns_priv 表:存放列級別的權限,決定了來自哪些主機的哪些用戶可以訪問數據庫表的這個字段。
- procs_priv 表:存放存儲過程和函數級別的權限。
參考官方文檔,可授予的權限如下表所示:
看起來各種可授予的權限有很多,其實可以大致分為數據、結構、管理三類,大概可分類如下:
2.權限管理實戰
我們一般用 grant 語句為數據庫用戶賦權,建議大家先用 create user 語句創建好用戶之后再單獨進行授權。下面通過示例來具體看下:
- # 創建用戶
- create user 'test_user'@'%' identified by 'xxxxxxxx';
- # 全局權限
- GRANT super,select on *.* to 'test_user'@'%';
- # 庫權限
- GRANT select,insert,update,delete,create,alter,execute on `testdb`.* to 'test_user'@'%';
- # 表權限
- GRANT select,insert on `testdb`.tb to 'test_user'@'%';
- # 列權限
- GRANT select (col1), insert (col1, col2) ON `testdb`.mytbl to 'test_user'@'%';
- # GRANT命令說明:
- super,select 表示具體要授予的權限。
- ON 用來指定權限針對哪些庫和表。
- *.* 中前面的*號用來指定數據庫名,后面的*號用來指定表名。
- TO 表示將權限賦予某個用戶。
- 'test_user'@'%' 表示test_user用戶,@后面接限制的主機,可以是IP、IP段、域名以及%,%表示任何地方。
- # 刷新權限
- flush privileges;
- # 查看某個用戶的權限
- show grants for 'test_user'@'%';
- # 回收權限
- revoke delete on `testdb`.* from 'test_user'@'%';
權限管理是一件不容忽視的事,我們不能為了方便而給數據庫用戶很大的權限。特別是對于生產庫,更應該進行權限管控,建議程序用戶只賦予增刪改查等基礎權限,個人用戶只賦予查詢權限。
出于安全考慮,建議遵循以下幾個經驗原則:
- 只授予能滿足需要的最小權限,防止用戶干壞事。比如用戶只是需要查詢,那就只給 select 權限就可以了。
- 創建用戶的時候限制用戶的登錄主機,一般是限制成指定 IP 或者內網 IP 段。
- 給各個服務單獨創建數據庫用戶,單個用戶最好只能操作單個庫。
- 及時記錄各數據庫用戶權限等信息,以免忘記。
- 若有外部系統調用,應配置只讀用戶,并且權限要精確到表或視圖。
- 定期清理不需要的用戶,回收權限或者刪除用戶。
參考:
https://dev.mysql.com/doc/refman/5.7/en/privileges-provided.html
https://www.cnblogs.com/richardzhu/p/3318595.html
