🌈 个人主页:danci_
🔥 系列专栏:《设计模式》《MYSQL》
💪🏻 制定明确可量化的目标,坚持默默的做事。
✨欢迎加入探索MYSQL权限配置之旅✨
👋 大家好!文本学习和探索MYSQL权限配置。👋 权限配置是保障数据安全与系统稳定的基石。《MySQL权限配置》将带您深入探索权限管理的奥秘,帮助您轻松掌握用户权限的分配与控制技巧。从基本用户设置到复杂的权限策略,本篇文章将为您提供全面的指导,让您在应对各种安全挑战时游刃有余。无论您是初学者还是资深DBA,这里都有您不可错过的实战经验与最佳实践。准备好让您的数据库更安全了吗?让我们一探究竟!
目录
一、环境
二、MySQL8 用户权限
2.1 账号管理权限
2.1.1 连接数据库
2.1.2 账号权限配置
2.2 密码管理
2.3 锁账号配置(含示例)
三、MySQL8 用户资源限制
一、环境
- Windows11;
- Docker (中文下载:Docker中文网 官网,英文下载:Get Started | Docker,安装:一直下一步即可);
- Mysql5、Mysql8.0.28。
# 下载镜像
$ docker pull mysql:8.0.28
# 创建容器并运行
$ docker run -itd --name mysql8 -p 3307:3306 -e MYSQL_ROOT_PASSWORD=root -e MYSQL_ROOT_HOST='%' mysql
二、MySQL8 用户权限
在 MySQL8 之前,授权表使用 MyISAM 并且是非事务性的,而在 MySQL8 中,授权表使用 InnoDB 存储引擎并且是事务性的。通过查看创建表的语句(命令:show create table user;)来查看表的存储引擎,如下图:
服务器在启动时将授权表的内容读入内存,当修改权限时需要通过命令 FLUSH PRIVILEGES 重新加载使权限生效。
user:用户帐户、静态全局权限表;
global_grants:动态全局权限表;
db:数据库级的权限表;
tables_priv:存储表级权限;
columns_priv: 存储列级权限;
procs_priv: 存储过程和函数权限表;
proxies_priv: 代理用户权限表;
default_roles:默认用户角色表;
role_edges:记录角色与用户的授权关系表;
password_history: 密码更改历史表。
2.1 账号管理权限
2.1.1 连接数据库
docker exec -it mysql3307 bash // 回车
mysql -uroot -p //回车再输入密码
docker exec -it mysql3307 bash // 回车
mysql --user=root --password // 回车,再输入密码
2.1.2 账号权限配置
创建和删除帐户
CREATE USER 和 DROP USER 创建和删除帐户;
分配权限和撤销权限
GRANT 和 REVOKE 分配权限和撤销权限;
示例:
CREATE USER 'username'@'localhost' IDENTIFIED BY 'password'; // 创建局域网络账号
GRANT ALL ON *.* TO 'username'@'localhost' WITH GRANT OPTION; // 分配权限
REVOKE ALL ON *.* FROM 'username'@'localhost'; // 撤销权限
SHOW GRANTS FOR 'username'@'localhost'; // 查看权限
DROP USER 'username'@'localhost'; // 删除账号
其它机器用户访问的用户权限配置只需要修改localhost,如 localhost修改为% 表示任意机器网络,localhost修改为192.168.2.% 表示给192.168.2这个ip连接数据库配的用户权限。
2.2 密码管理
修改密码
ALTER USER 'username'@'%' IDENTIFIED BY 'password';//修改密码
设置密码过期时间
ALTER USER 'username'@'%' PASSWORD EXPIRE; //设置立即过期
ALTER USER 'username'@'%' PASSWORD EXPIRE INTERVAL 30 DAY; //设置30天过期
ALTER USER 'username'@'%' PASSWORD EXPIRE NEVER; //禁用密码过期
禁止重复使用最近3个或超过30天的密码
修改文件 my.cnf,mysql8.0.28是/etc/my.cnf:
[mysqld]
password_history=3
password_reuse_interval=30
2.3 锁账号配置(含示例)
# 连续登录失败3次则锁定1天,天数可取值:0-32767,设置 0 则代表解锁
CREATE USER 'test'@'localhost' IDENTIFIED BY 'test123' FAILED_LOGIN_ATTEMPTS 7 PASSWORD_LOCK_TIME 1;
# 连续登录失败3次则永久锁定
ALTER USER 'try8'@'localhost' FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME UNBOUNDED;
示例:
# 登陆MYSQL
PS C:\Users\Administrator> docker exec -it mysql8 bash
bash-4.4# mysql -uroot -p
Enter password: # 此外输入密码完成登陆
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 8
Server version: 8.2.0 MySQL Community Server - GPL
Copyright (c) 2000, 2023, Oracle and/or its affiliates.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
mysql>
# 登陆连续登陆失败3次锁一天的用户test
mysql> CREATE USER 'test'@'localhost' IDENTIFIED BY 'test123' FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME 1;
Query OK, 0 rows affected (0.01 sec)
mysql> FLUSH PRIVILEGES;
打开另一终端,用正确密码测试是否登陆成功
PS C:\Users\Administrator> docker exec -it mysql8 bash
bash-4.4# mysql -utest -ptest123
mysql: [Warning] Using a password on the command line interface can be insecure.
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 9
Server version: 8.2.0 MySQL Community Server - GPL
Copyright (c) 2000, 2023, Oracle and/or its affiliates.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
mysql> # 进到这里说明登陆成功
mysql> exit
Bye
测试登陆3次失败
bash-4.4# mysql -utest -ptest12345
mysql: [Warning] Using a password on the command line interface can be insecure.
ERROR 1045 (28000): Access denied for user 'test'@'localhost' (using password: YES)
bash-4.4# mysql -utest -ptest12345
mysql: [Warning] Using a password on the command line interface can be insecure.
ERROR 1045 (28000): Access denied for user 'test'@'localhost' (using password: YES)
bash-4.4# mysql -utest -ptest12345
mysql: [Warning] Using a password on the command line interface can be insecure.
ERROR 3955 (HY000): Access denied for user 'test'@'localhost'. Account is blocked for 1 day(s) (1 day(s) remaining) due to 3 consecutive failed logins.
bash-4.4#
第三次输入失败后有提示 Account is blocked for 1 day(s) (1 day(s) remaining) 账号已被锁1天。
# 输入正确的用户名密码登陆看是否成功
bash-4.4# mysql -utest -ptest123
mysql: [Warning] Using a password on the command line interface can be insecure.
ERROR 3955 (HY000): Access denied for user 'test'@'localhost'. Account is blocked for 1 day(s) (1 day(s) remaining) due to 3 consecutive failed logins.
因输入错误3次被锁定,即使再输入正确的用户名和密码也无法登陆。
解锁
ALTER USER 'test'@'localhost' IDENTIFIED BY 'test123' FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME 0;
设置0:代表解锁。
三、MySQL8 用户资源限制
将全局系统变量 max_user_connections 设置为非零值,可以限制同时建立的连接数,但是对客户端连接后可以执行的查询更新操作没有限制。客户端可以发出的任何语句都计入查询限制,只有修改库表才计入更新限制。
MAX_QUERIES_PER_HOUR:客户端每小时可以发出的查询数;
MAX_UPDATES_PER_HOUR:客户端每小时可以发出的更新数;
MAX_CONNECTIONS_PER_HOUR:客户端每小时可以连接到服务器的次数;
MAX_USER_CONNECTIONS:客户端同时连接的服务器数量等。
通过创建用户账号限制示例:
CREATE USER 'test'@'localhost' IDENTIFIED BY 'test123'
WITH MAX_QUERIES_PER_HOUR 10000
MAX_UPDATES_PER_HOUR 10000
MAX_CONNECTIONS_PER_HOUR 10000
MAX_USER_CONNECTIONS 10000 ; # 客户端每小时的查询数、更新数、连接服务器的次数和数量为10000 。
通过修改和删除账号限制示例:
ALTER USER 'test'@'localhost' WITH MAX_QUERIES_PER_HOUR 10000; //修改限制
ALTER USER 'test'@'localhost' WITH MAX_CONNECTIONS_PER_HOUR 0; //设置0,为删除限制
好了,今天分享到这里。希望你喜欢这次的探索之旅!不要忘记 "点赞" 和 "关注" 哦,我们下次见!🎈