MySQL8提供了较多的密码管理功能和策略,包括密码过期时间设置,密码重用限制,密码验证,双密码,密码强度评估和密码失败跟踪等。DBA使用提供的这些功能和策略对MySQL用户的密码进行管理和配置,进一步完善数据库的安全保障。
1
密码过期策略
MySQL提供参数配置设置全局密码过期时间,也可以创建用户时指定密码过期时间,也可以手动设置某一用户密码过期;系统从用户最近一次密码更新时间计时,当超过其允许的生命周期时必须重置密码后才能正常登陆。
#设置全局密码过期时间default_password_lifetime,单位为天
1、修改配置文件重启后生效
[mysqld]
default_password_lifetime=180
2、在线修改并持久化
SET PERSIST default_password_lifetime = 180;
#default_password_lifetime=0 时默认密码用不过期
除全局配置外,也可以创建用户时指定密码过期时间。
#创建用户test_passwd并设置密码过期时间为90天
mysql> CREATE USER 'test_passwd'@'localhost' identified by 'test_passwd' PASSWORD EXPIRE INTERVAL 90 DAY;
Query OK, 0 rows affected (0.01 sec)
mysql> select user,host,password_last_changed,password_lifetime from mysql.user where user='test_passwd';
+-------------+-----------+-----------------------+-------------------+
| user | host | password_last_changed | password_lifetime |
+-------------+-----------+-----------------------+-------------------+
| test_passwd | localhost | 2021-08-24 14:29:07 | 90 |
+-------------+-----------+-----------------------+-------------------+
1 row in set (0.00 sec)
#创建用户test_passwd_never并设置密码用不过期
mysql> CREATE USER 'test_passwd_never'@'localhost' identified by 'test_passwd' PASSWORD EXPIRE NEVER;
Query OK, 0 rows affected (0.00 sec)
mysql> select user,host,password_last_changed,password_lifetime from mysql.user where user='test_passwd_never';
+-------------------+-----------+-----------------------+-------------------+
| user | host | password_last_changed | password_lifetime |
+-------------------+-----------+-----------------------+-------------------+
| test_passwd_never | localhost | 2021-08-24 14:32:27 | 0 |
+-------------------+-----------+-----------------------+-------------------+
1 row in set (0.00 sec)
#创建用户test_passwd_default并设置密码过期时间遵循系统默认值
mysql> CREATE USER 'test_passwd_default'@'localhost' identified by 'test_passwd' PASSWORD EXPIRE DEFAULT;
Query OK, 0 rows affected (0.01 sec)
mysql> select user,host,password_last_changed,password_lifetime from mysql.user where user='test_passwd_default';
+---------------------+-----------+-----------------------+-------------------+
| user | host | password_last_changed | password_lifetime |
+---------------------+-----------+-----------------------+-------------------+
| test_passwd_default | localhost | 2021-08-24 14:33:56 | NULL |
+---------------------+-----------+-----------------------+-------------------+
1 row in set (0.00 sec)
也可以手动设置某一用户密码过期。
mysql> ALTER USER 'test_passwd'@'localhost' PASSWORD EXPIRE;
Query OK, 0 rows affected (0.00 sec)
当用户密码过期后,登录动作受只读参数disconnect_on_expired_password 和 客户端共同影响。 对于新版客户端(可以处理过期密码)可以正常登录但进入沙箱模式。否则当disconnect_on_expired_password=on时拒绝登录。 进入沙箱模式后只能重置密码后才能正常使用。
mysql> select 1;
ERROR 1820 (HY000): You must reset your password using ALTER USER statement before executing this statement.
mysql> alter user current_user() identified by 'new_passwd';
Query OK, 0 rows affected (0.01 sec)
mysql> select 1;
+---+
| 1 |
+---+
| 1 |
+---+
1 row in set (0.00 sec)
2
密码重用策略
MySQL可以限制已使用的密码重复使用,可以根据密码修改次数以及密码使用时间间隔两个维度进行限制。同样的既可以设置一个全局策略,也可以对每个用户设置单独的策略。
当开启密码重用策略后, mysql.password_history 表中将会记录用户使用的历史密码和该密码被修改的时间。可以配置限制密码更改的次数,如 password_history 设置为3,则不能使用最近三次使用过的密码;也可以配置限制密码使用时间,如配置 password_reuse_interval=60 ,则不能使用60天内使用过的密码;
空密码不计入密码历史表,可以随时重复使用。
mysql> alter user 'test'@'%' identified by '12345';
Query OK, 0 rows affected (0.01 sec)
mysql> alter user 'test'@'%' identified by '123455';
Query OK, 0 rows affected (0.00 sec)
mysql> sele