MySQL8安全指南之账号控制与账户管理:账户类型

最新推荐文章于 2022-12-13 14:46:35 发布
最新推荐文章于 2022-12-13 14:46:35 发布
阅读量377 收藏
点赞数
分类专栏: mysql 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Suubyy/article/details/119238937
版权

文章目录

账户类型

从MySQL 8.0.16开始,MySQL引入了基于 SYSTEM_USER 用户权限的用户帐户类别概念。

系统和常规账户

MySQL 引入了用户帐户类别的概念,根据是否具有 SYSTEM_USER 权限来区分系统用户和普通用户:

  • 具有 SYSTEM_USER 权限的用户是系统用户。
  • 没有 SYSTEM_USER 权限的用户是普通用户。

受 SYSTEM_USER 权限影响的操作

SYSTEM_USER 权限会影响这些操作:

  • 账户操作。帐户操作包括创建和删除帐户、授予和撤消权限、更改帐户身份验证特征(如凭据或身份验证插件)以及更改其他帐户特征(如密码过期策略)。使用帐户管理语句(如CREATE USERGRANT)操作系统帐户需要SYSTEM_USER权限。要防止帐户以这种方式修改系统帐户,请将其设置为普通帐户,不要授予它SYSTEM_USER权限。

  • 正在终止当前会话和其中执行的语句。要终止以 SYSTEM_USER 权限执行的会话或语句,除了任何其他必需的权限之外,您自己的会话还必须具有 SYSTEM_USER 权限。

  • 设置存储对象的DEFINER属性。要将存储对象的DEFINER属性设置为具有SYSTEM_USER权限的帐户,您必须拥有SYSTEM_USER权限,以及任何其他必需的权限

  • 指定强制角色。具有SYSTEM_USER权限的角色不能在mandatory_roles系统变量的值中列出。在 MySQL 8.0.16 之前,任何角色都可以在mandatory_roles 中列出。

系统会话和普通会话

服务器内执行的会话分为系统会话或常规会话,类似于系统用户和常规用户的区别:

  • 拥有 SYSTEM_USER 权限的会话是系统会话。
  • 不拥有 SYSTEM_USER 权限的会话是常规会话。

常规会话只能执行常规用户允许的操作。系统会话还能够执行仅允许系统用户执行的操作。

会话拥有的权限是直接授予其帐户的权限,加上当前会话活跃的所有角色的权限。因此,会话可能是系统会话,因为它的帐户已被直接授予SYSTEM_USER 权限,或者因为会话已激活具有SYSTEM_USER 权限的角色。

由于激活和取消激活角色可以更改会话拥有的权限,因此会话可以从常规会话更改为系统会话,反之亦然。如果会话激活或停用具有 SYSTEM_USER 权限的角色,则常规会话和系统会话之间的适当更改会立即发生,仅适用于该会话:

  • 如果常规会话激活具有 SYSTEM_USER 权限的角色,则该会话将成为系统会话。
  • 如果系统会话停用具有 SYSTEM_USER 权限的角色,则该会话将成为常规会话,除非具有 SYSTEM_USER 权限的某个其他角色保持活动状态。

这些操作对现有会话没有影响:

  • 如果对帐户授予SYSTEM_USER权限或撤销该帐户的SYSTEM_USER权限,则该帐户的现有会话不会在常规会话和系统会话之间更改。授予或撤销操作只影响该帐户后续连接的会话。

因为角色激活只影响会话而不影响帐户,所以将具有SYSTEM_USER权限的角色授予普通帐户并不能保护该帐户不受普通用户的攻击。该角色仅保护已激活该角色的帐户的会话,并且仅保护会话不被常规会话终止。

保护系统帐户免受常规帐户的操作

帐户操作包括创建和删除帐户、授予和撤销权限、更改帐户身份验证特征(如凭据或身份验证插件)以及更改其他帐户特征。

帐户操作可以通过两种方式完成:

  • 通过使用帐户管理语句,例如 CREATE USERGRANT。这是首选方法。
  • 通过使用INSERTUPDATE等语句直接授权表修改。不建议使用这种方法

要完全保护系统帐户免受给定帐户的修改,请将其设置为常规帐户,并且不要为其授予 mysql schema修改权限:

  • 使用帐户管理语句操作系统帐户需要SYSTEM_USER权限。要防止帐户以这种方式修改系统帐户,可以将其设置为普通帐户,不授予SYSTEM_USER权限

  • mysql schema的权限允许通过直接修改授予表来操作系统帐户,即使修改帐户是一个普通帐户。为了限制普通帐户对系统帐户未经授权的直接修改,不要将mysql schema的修改权限授予该帐户(或授予该帐户的任何角色)。如果一个普通帐户必须拥有适用于所有schema的全局权限,mysql schema修改可以通过使用部分撤销的权限限制来阻止。

假设您希望创建一个用户u1,该用户拥有所有schemas上的所有权限,但u1应该是一个普通用户,不能修改系统帐户。假设启用了partial_revokes系统变量,配置u1如下:

CREATE USER u1 IDENTIFIED BY 'password';

GRANT ALL ON *.* TO u1 WITH GRANT OPTION;
-- GRANT ALL includes SYSTEM_USER, so at this point
-- u1 can manipulate system or regular accounts

REVOKE SYSTEM_USER ON *.* FROM u1;
-- Revoking SYSTEM_USER makes u1 a regular user;
-- now u1 can use account-management statements
-- to manipulate only regular accounts

REVOKE ALL ON mysql.* FROM u1;
-- This partial revoke prevents u1 from directly
-- modifying grant tables to manipulate accounts

要防止某个帐户访问所有 mysql 的schema,请撤销其对 mysql 的schema的所有权限,如刚才所示。也可以允许部分 mysql 的schema被访问,例如只读访问。以下示例创建一个帐户,该帐户对所有schema具有全局 SELECT、INSERT、UPDATEDELET权限,但对 mysql 的schema仅具有 SELECT 权限:

CREATE USER u2 IDENTIFIED BY 'password';
GRANT SELECT, INSERT, UPDATE, DELETE ON *.* TO u2;
REVOKE INSERT, UPDATE, DELETE ON mysql.* FROM u2;

另一种可能性是撤销所有 mysql的schema的权限,但授予对特定 mysql 表或列的访问权限。

CREATE USER u3 IDENTIFIED BY 'password';
GRANT ALL ON *.* TO u3;
REVOKE ALL ON mysql.* FROM u3;
GRANT SELECT ON mysql.db TO u3;
GRANT SELECT(Host,User) ON mysql.user TO u3;
666呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql账户分类_二十三、MySQL账户管理
weixin_29619665的博客
02-02 626
1、概述在生产环境下操作数据库时,绝对不可以使用root账户连接,而是创建特定的账户,授予这个账户特定的操作权限,然后连接进行操作,主要的操作就是数据的crud。MySQL账户体系:根据账户所具有的权限的不同,MySQL账户可以分为以下几种服务实例级账号:,启动了一个mysqld,即为一个数据库实例;如果某用户如root,拥有服务实例级分配的权限,那么该账号就可以删除所有的数据库、连同这些库中的...
以普通权限运行MySQL的操作说明
04-13
如果是 system 用户在运行 MySQL ,这个是非常危险的,一旦Mysql 出现漏洞,或被其他模式提权,直接就是 system 权限。对 MySQL进行降权,用普通权限运行假设(1)mysql安装在 d:\mysql 目录(2)运行时用户名mysqluser
MySQL8-root用户-提示“1227 - Access denied”解决办法
大山的博客
06-21 1万+
MySQL8-root用户-提示“1227 - Access denied”解决办法 问题:在使用MySQL时提示 1227 - Access denied; you need (at least one of) the SYSTEM_USER privilege(s) for this operation 缘由: 原因是MySQL8版本中新增了一个system_user帐户类型,但是由于root用户没有SYSTEM_USER权限,所以出现问题,把权限加入后即可解决 解决办法: 对没有权限的用户授
MYSQL8的账户管理
user2025的博客
06-21 1301
查询mysql的版本 SELECT @@version 查询用户、用户能登录的主机IP、用户当前使用的身份认证插件 SELECT user,host,plugin,authentication_string FROM mysql.user (1)localhost指本地才可连接 (2)%指任意ip都能连接 (3)可以使用户在指定的IP地址登录 ---------------------------------------------------------------- 用户名
mysql用户系统_MySQL用户和系统变量
weixin_36387422的博客
01-19 98
--MySQL用户和系统变量-----------------------------2014/05/19用户变量可以先在用户变量中保存值然后在以后引用它;这样可以将值从一个语句传递到另一个语句。用户变量与连接有关。也就是说,一个客户端定义的变量不能被其它客户端看到或使用。当客户端退出时,该客户端连接的所有变量将自动释放。用户变量的形式为@var_name,其中变量名var_name可以由当前字符...
关于mysql的用户_MySQL的用户和权限介绍
weixin_30066779的博客
01-19 357
一、关于MySQL权限的几点常识:1、MySQL的权限系统主要用来验证用户的操作权限。2、在MySQL内部,权限信息存放在MySQL数据库的granttable里。当mysql启动后,granttable里的信息会写入内存。3、MySQL使用user name加host name来作为标识符。通过这种标识符,可以用来区分不同host上的相同的user name。4、MySQL权限控制有2...
MySQL8.0报错:Access denied; you need (at least one of) the SYSTEM_USER privilege(s) for this operation
热门推荐
我的博客
03-08 2万+
MySQL8.0.16版本中新增了一个system_user帐户类型,当我通过phpAdmin新增用户并赋予权限时 CREATE USER 'homestead'@'%' IDENTIFIED WITH caching_sha2_password BY '***'; GRANT ALL PRIVILEGES ON *.* TO 'homestead'@'%' WITH GRANT OPTIO...
Windows下MySQL安装指南.zip_MYSQL
09-14
如果需要手动控制服务启动,可以取消选中“Start the MySQL Server automatically”。 5. 设置数据存储位置。默认情况下,MySQL数据文件将存储在“C:\ProgramData\MySQL”目录下。根据需要,你可以更改此路径。 6....
WIN2000 Apache php mysql 安装及安全手册
10-01
3. 配置MySQL:更改默认的root账户密码,创建独立的用户账号进行数据库操作,启用二进制日志以跟踪数据库变动,同时限制只允许本地连接。 5. 使用工具:安装ZendOptimizer以优化PHP性能,使用MySQL-Front图形界面...
## 忠义JSP交友 ###Description: jsp+mysql数据库编写的交友程序
最新发布
09-21
3. **搜索与添加好友**:用户可以搜索其他用户并申请添加为好友,好友请求会在目标用户的账户中显示。 4. **聊天功能**:用户之间可以发送私信,聊天记录会被存储以便之后查看。 ### 文件结构 项目中的`readme.md`...
Mysql-三级测评指导书.doc
08-11
本文档旨在为 MySQL 数据库管理员提供一份详细的安全配置与评估指南,涵盖身份鉴别、访问控制、敏感信息资源保护等关键方面,以确保 MySQL 数据库的安全性和可靠性。 一、身份鉴别 1. 身份鉴别: MySQL 数据库管理...
【数据库】数据库总结(350个数据库,14个分类)
沙师弟专栏
06-24 1万+
用户的个人信息,社交网络,地理位置,用户生成的数据和用户操作日志已经成倍的增加。定义:并发的事务之间不会互相影响,如果一个事务要访问的数据正在被另外一个事务修改,只要另外一个事务未提交,它所访问的数据就不受未提交事务的影响。例如:还说微信或支付宝转钱,从A转100元至B,在这个交易还未完成的情况下,如果此时B查询自己的账户,是看不到新增加的100元的,这就是独立性。定义:事务里的所有操作要么全部做完,要么都不做,事务成功的条件是事务里的所有操作都成功,只要有一个操作失败,整个事务就失败,需要回滚。
MySQL8安全指南账号控制账户管理
李玉志的博客
07-23 1443
账号控制账户管理 账户用户名和密码 MySQL账户存储在mysql系统数据库中的user表中。 账户还可能具有身份验证凭据,例如密码。凭据由帐户身份验证插件处理,MySQL支持多种认证插件。其中一些使用内部认证方法,而另一些使用外部认证方法来启用认证。更多信息请查看 Pluggable Authentication. MySQL用户和密码的使用与操作系统用户和密码的使用有几个区别: 用于MySQL身份认证的账户与登录Windows或者Unix系统的用户名无关。在 Unix 上,默认情况下,大多数 M
mysql用户分为_mysql用户权限分配专栏
weixin_42494742的博客
01-19 131
00x1创建新用户通过root用户登录之后创建创建新用户,用户名为testuser,密码为123456 ;grant all privileges on *.* to testuser@localhost identified by "123456" ;设置用户testuser,可以在本地访问mysqlgrant all privileges on *.* to testuser@localhos...
Mysql 错误1227 Access Denied; you need the PROCESS(SYSTEM_USER) privilege(s) 问题解决
12-13 3528
Mysql 错误1227 Access Denied; you need the PROCESS(SYSTEM_USER) privilege(s) 问题解决
MySQL数据库账号划分及权限
上帝之手&传奇 - MartinLee
03-25 3928
一,针对数据库管理和使用人员做了系统权限和权限控制访问策略。 所有的数据系统登陆,由堡垒机,必须通过4A账号登陆。目前登陆方式有三种,1.主机登陆,2.数据评审端登录(archery等),3.程序直连登陆。 1.1,主机登录,主要针对数据系统管理维护人员,通过切换至对应的数据账号下执行操作,此类操作界面只能有数据库维护人员可以登陆,非数据库维护人员禁止使用(没有权限)此界面。 1.2, 业务开发测试人员,对生产数据系统有对应需求时,通过实名制登录archery数据评审平台后,在根据对应的服务类只读用户进行数
mysql基础系列十一】用户权限管理
可乐要加冰
06-21 4830
用户权限管理:在不同的项目中给不同的角色(mysql客户端用户,通常为开发者)不同的权限,为了保证数据库的数据安全。 用户管理 mysql需要客户端进行连接认证才能进行服务器操作:需要用户信息。mysql中所有的用户(指mysql客户端用户)信息都是保存在mysql数据库下的user表中。该表采用复合主键(host + user)。 注意:\g 的作用是分号和在sql语句中写’;’是等效...
mysql 8.0远程连接_MySQL8.0远程连接和用户授权相关设置
weixin_35034536的博客
01-18 2617
1、开启MySQL远程连接mysql -u root -p #进入MySQL数据库后进行一下操作。mysql> use mysql;mysql> update user set user.Host=’%’ where user.User=‘root’;mysql> flush privileges;注:将Host设置为‘%’表示任意IP都能连接MySQL,也可以将‘%’改为指定i...
MySQL 8.0.16新特性:SYSTEM_USER动态权限(英译中文)
weixin_33701251的博客
05-25 2623
文本使用翻译工具协助翻译,存在明显机翻味,同时加入了我的一些实际操作见解。   翻译这篇文章,源于我在最新(8.0.16)版本的MySQL使用root用户创建用户并授予所有(all)权限后,出现无法通过revoke all撤销新建用户的所有权限,后在官网得知这是8.0.16新出的一个权限,又由于本人捉急的英语水平和直接用翻译页面的错误翻译,于是尝试手动调整翻译内容,便于理解,便有了本文,欢迎大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值