MySQL软件所提供的权限(mysql.user、mysql.db、mysql.host)
(1) 系统表mysql.user
user权限表中字段分为四类: 用户字段、权限字段、安全字段和资源控制字段。
用户字段
用户字段.png
权限字段
权限字段.png
安全字段
安全字段.png
# 查看是否支持ssl标准show variables like 'have_openssl'123资源控制字段
资源控制.png
系统表mysql.user中的所有资源字段的默认值为0,表示没有任何限制。
(2) 系统表mysql.db和mysql.host
在系统数据库mysql中,权限表除了表user外,还有表db和表host,这两张表都存储了某个用户对数据库的权限。
用户字段
mysql.db表
mysql.db表.png
mysql.host表
mysql.host表.png
权限字段
权限字段.png
(3)其他权限表
在系统数据库mysql中,除了上述权限表外,还有表tables_priv和columns_priv,其中标tables_priv用来实现单个表的权限设置,表columns_priv用来实现单个字段列的权限设置。
系统表mysql.tables_priv表结构
mysql.tables_priv表结构.png
mysql.tables_priv表结构.png
系统表mysql.columns_priv的表结构
columns_priv的表结构png
用户机制
(1) 登录和退出MySQL软件的完整命令
# 登录mysql -h 127.0.0.1 -u root -p# 退出(\q)exit|quit12345(2) 创建普通用户账户
执行CREATE USER语句来创建用户账户
create user 'mazaiting'@'localhost' identified by '123456'12执行INSERT语句来创建用户
insert into user(host,user,password,ssl_cipher,x509_issuer,x509_subject)values('localhost', 'linghaoyu', password('linghaoyu'),'','','')# 使新建用户生效flush privileges12345执行GRANT语句来创建用户
grant select on company.t_deptto 'wangxingqin'@'localhost' identified by 'wangxingqin'123(3) 利用超级权限用户root修改用户账户密码
修改超级权限用户账户密码
# 通过mysqladmin命令修改root用户密码mysqladmin -u root -p password "123456"# 通过SET命令修改密码set password=password("123456")# 更新系统表mysql.user数据记录修改root用户密码update user set password=password("123456")where user="root" and host="localhost"12345678(4) 利用拥有超级权限用户root修改普通用户账户密码
# 创建用户grant select,create,drop on *.*to 'mazaiting'@'localhost' identified by 'mazaiting'with grant option# 通过grant命令修改用户密码grant select,create,drop on *.*to 'mazaiting'@'localhost' identified by '123456'# 通过set命令修改用户密码set password for 'mazaiting'@'localhost'=password("123456")# 更新系统表mysql.user数据记录修改用户密码update user set password=password("mazaiting")where user='mazaiting' and host='localhost'# 登录当前用户,并使用set命令修改密码set password=password("123456")123456789101112131415(5) 删除普通用户账户
通过DROP USER语句删除普通用户
drop user 'mazaiting'@'localhost'12删除系统表mysql.user数据记录实现删除用户账号
# 选择mysql数据库use mysql# 删除用户delete from user where user='mazaiting' and host='localhost'12345权限管理
(1) 对用户进行授权
# 创建用户grant select,create,drop on *.*to 'mazaiting'@'localhost' identified by 'mazaiting'with grant option# 查询表数据记录select host,user,password,select_priv,update_priv,grant_priv,drop_privfrom mysql.userwhere user='mazaiting' \G12345678910(2) 查看用户所拥有权限
show grants for 'mazaiting'@'localhost' \G12(3) 收回用户所拥有权限
# 回收用户的查询权限revoke select on *.* from 'mazaiting'@'localhost'# 回收用户的全部权限revoke all privileges, grant optionfrom 'mazaiting'@'localhost 数据库安全策略是涉及信息安全的高级指导方针,这些策略根据用户需要、安装环境、建立规则和法律等方面的限制来制定。数据库系统的基本安全性策略主要是一些基本性安全的问题,如访问控制、伪装数据的排除、用户的认证、可靠性,这些问题是整个安全性问题的基本问题。数据库的安全策略主要包含以下几个方面:
1.保证数据库存在安全
数据库是建立在主机硬件、 *** 作系统和网络上的系统,因此要保证数据库安全,首先应该确保数据库存在安全。预防因主机掉电或其他原因引起死机、 *** 作系统内存泄漏和网络遭受攻击等不安全因素是保证数据库安全不受威胁的基础。
一 作为最流行的开源数据库引擎,MySQL本身是非常安全的。即便如此,你仍然需要添加额外的安全层来保护你的MySQL数据库不受攻击,毕竟任何经营网上在线业务的人都不想冒数据库受到损坏的风险。接下来,我们将介绍一些实用的办法,你可以利用这些办法来保护MySQL数据库,以便加强网站的安全性。
二 保护 *** 作系统
确保 *** 作系统的安全是保护数据库安全的前提,因为如果整个运行环境不安全,那么网站上所有的东西都脆弱,很容易暴露于攻击者。为了维护 *** 作系统和MySQL服务器,你可以使用以下方法:
2.1 主机数据库服务器和web服务器分别在不同的物理机器上,如果可能,在一个单独的服务器上运行数据库服务器,以预防由其他应用程序或服务的漏洞造成的服务器问题。
安装杀毒软件,防火墙以及所有推荐的补丁和更新,防火墙能有效地把流量过滤到MySQL服务器。为了更好的提高安全性,你还可以实行入口封锁。
禁用所有不必要的服务,而且这样的服务越少越好。
2.2 保护所有帐户和密码
攻击者侵入MySQL数据库最常见的一种方法是窃取有安全隐患的账户信息。为了降低出现这种风险的可能性,你不妨试一试下面的方法:
2.2.1. 给所有MySQL账户设置密码
客户程序并不是每次都能识别用户,因此,如果用户知道数据库名但是没有这个用户名的密码,那他可以指定任何其他用户名连接到MySQL数据库。让每个MySQL用户名都设置密码,这样一来,要想利用匿名账户建立连接将会变得很困难。
2.2.2. 不要使用根用户运行MySQL服务器
在安装MySQL的时候,默认情况下创建了一个命名为“root”的管理用户。每个人都知道这一点,所以攻击者通常试图侵入这个“root”用户来获取访问权限。为了保障这个重要帐户的安全,你需要给它重新命名,然后更改一个长并且复杂的密码。
2.2.3你可以在MySQL控制台使用mysql>RENAME USER root TO new_username
指令给根用户重命名,使用mysql>SET PASSWORD FOR 'username'@'%hostname' =
PASSWORD('newpassword')//这是很重要的一条命令
指令来修改密码。
三. 减少管理员账户
管理员账户越多,风险越大,所以你应该保持尽可能最少的帐户数量,只有为那些真正需要它的人创建账户。此外,记得要删除未使用的和匿名的账户。如果你有很多管理员账户,那你需要定期检查并清理那些不必要的账户。
四. 加强所有的密码
除了管理员帐户,你还需要加强所有其他用户的密码。你可以检查所有的用户名和密码,必要的时候你还可以重置安全强度低的账户密码。虽说这样做会有点费时,但却是有必要的。
五 限制数据库权限
每个用户都应该被授予适当的权限以便数据库能够正常运行,但这样一来也加大了数据库的安全隐患。就数据库权限而言,我们有以下几点建议:
5.1. 不要授予非管理员用户文件/高级/程序权限
文件,高级和程序权限都不应该被滥用。文件权限让用户可以在文件系统中的任何一个地方编写文件,而程序权限让用户在任何时候都能够查看服务器活动,终止客户端连接甚至更改服务器 *** 作。为了你的数据库安全,这些权限只能授予给管理员账户。
5.2. 限制或禁用显示数据库权限
显示数据库特权可以用于收集数据库信息,所以攻击者通常利用它来窃取数据并准备进一步攻击。你应该把这个权限授予那些真正需要的人,或者直接禁用这个权
限,你只需要把skip-show-database添加到MySQL数据库中的/etc/my.cnf配置文件中。对于Windows *** 作系统来说,则
需要添加到my.ini文件中。
5.3. 限制管理员和所有其他用户的权限
即使是管理员,也不要在同一账户中授予所有权限。因此我们建议你最好降低管理员账户访问数据的权限。至于其他的用户,你最好检查所有他们拥有的权限,以确保一切都是合适的。
六 删除风险组件
MySQL数据库的默认配置有一些不必要的组件,你可以考虑以下建议:
6.1. 禁用LOAD DATA LOCAL INFILE指令
这个命令允许用户读取本地文件甚至访问其他 *** 作系统上的文件,这可能帮助攻击者收集重要的信息并利用应用程序的漏洞侵入你的数据库。你需要做的是把set-variable=local-infile=0插入到MySQL数据库的my.cnf文件中,来禁用这个指令。
6.2. 删除测试数据库
有一个默认的“测试”数据库用于测试目的。由于这个数据库有安全风险,匿名用户也可以访问,你应该使用mysql>DROP database test指令尽快把它清除掉。
6.3. 删除历史文件
MySQL服务器有一个历史文件,它可以帮助你在安装出错的时候找到问题所在。历史文件包含敏感信息,比如说密码,如果这些信息被攻击者获得,那么将会给
你的数据库带来巨大的安全隐患。在安装成功后,历史文件并没有什么用,因此你可以使用cat /dev/null >
~/.mysql_history指令来删除文件当中的内容。
七 限制远程访问MySQL服务器
对于大多数用户来说,不需要通过不安全的开放网络来访问MySQL服务器。你可以通过配置防火墙或硬件,或者迫使MySQL只听从localhost来限制主机。此外,需要SSH隧道才能进行远程访问。
八 如果你想仅仅从本地主机来限制用户建立连接,你需要在在配置文件中添加bind-address=127.0.0.1。
8.1利用日志记录
启用日志记录让你可以检测服务器上的活动,这样你就可以分析失败的登录尝试和敏感文件的访问记录,以便了解是否存在向你的服务器和数据库发起的恶意活动。
你只需要把log =/var/log/mylogfile指令添加到MySQL配置文件中,就可以手动启用日志记录功能。
8.2至于日志记录,需要注意以下两点:
8.2.1日志记录仅适用于查询数量有限的数据库服务器。对于信息量大的服务器,这可能会导致高过载。
8.2.2由于“hostname.err”文件包含敏感数据表名和密码,只有“root”和“mysql”才有访问和记录这个文件的权限。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)