1. MySQL 权限的两个阶段
- 第一阶段为连接验证,主要限制用户连接
mysql-server
时使用的ip及密码
。 - 第二阶段为操作检查,主要检查用户执行的指令是否被允许,一般非管理员账户不被允许执行
drop
、delete
等危险操作。
2. 权限控制安全准则
- 只授予能满足需要的最小权限,防止用户执行危险操作。
- 限制用户的登录主机,防止不速之客登录数据库。
- 禁止或删除没有密码的用户。
- 禁止用户使用弱密码。
- 定期清理无效的用户,回收权限或者删除用户。
3. 常用操作
1. 创建账户、权限授予
- 8.0 之前版本
GRANT ALL PRIVILEGES on *.* to '用户名'@'主机' IDENTIFIED BY "密码" WITH
GRANT OPTION;
flush privileges; -- 刷新使权限生效
GRANT ALL PRIVILEGES on *.* to 'lisi'@'localhost' IDENTIFIED BY "123456" WITH
GRANT OPTION;
"""解释"""
grant:授予
all privileges:所有权限
*.*:所有数据库里的所有表
'lisi'@'localhost':用户lisi允许本机登录,
identified by:lisi的密码
with gtant option:权限可以向下传递
ALL PRIVILEGES : 授予全部权限, 也可以指定权限,如下:
select , insert , update , delete , create , drop , index , alter , grant , reference
s , reload , shutdown , process , file 十四个权限。
*.* : 允许操作的数据库和表。
主机名:表示允许用户从哪个主机登录, % 表示允许从任意主机登录。
- WITH GRANT OPTION : 带有该子句说明允许用户将自己拥有的权限授予别人。
- 8.0 之后的版本
CREATE USER `用户名`@`主机` IDENTIFIED BY '密码'; -- 创建账户
GRANT ALL ON *.* TO `用户名`@`主机` WITH GRANT OPTION; -- 授权
2. 修改密码
update user set authentication_string=password('你的密码') where user="root"
或者
alter user '用户名'@'主机' identified with mysql_native_password by '你的密码';
3. 查看权限
show grants; -- 查看当前用户的权限
show grants for 'abc'@'localhost'; -- 查看用户 abc 的权限
4. 回收权限
revoke all privileges on *.* from 'abc'@'localhost'; -- 回收用户 abc 的所有
权限
revoke grant option on *.* from 'abc'@'localhost'; -- 回收权限的传递
5. 删除用户
use mysql;
select host, user from user;
drop user 用户名@'%';
了解:创建一个用户,允许该用户通过主机远程登录。
- 创建一个允许任意主机登录的账号。
GRANT ALL PRIVILEGES on *.* to 'zhangsan'@'%' IDENTIFIED BY "密码" WITH GRANT
OPTION;
flush privileges;
- 修改mysql配置文件(不同操作系统,不同MySql版本,配置文件存储不同,ubuntu18.04配置文
件保存在/etc/mysql/mysql.conf.d/mysqld.cnf
; Centos7.7 配合文件保存在/etc/my.cnf
)
sudo vim /etc/my.cnf
将 bind-address=127.0.0.1
代码注释掉(如果这段代码存在的话),让计算机允许mysql
远程登录。
- 打开服务器的
3306
端口。 - 使用客户端远程登录到
mysql
数据库。
sudo mysql -uzhangsan -h 远端服务器地址 -P 3306 -p
windows下远程连接,如果有连接不上,可以重新启动以下windows的mysql服务器,重新连接下。