MYSQL数据库管理之权限管理

转自：http://blog.chinaunix.net/uid-20639775-id-3249105.html  (粉红色为添加的注释)

 

经常遇到有网友在QQ群或者论坛上问关于mysql权限的问题,今天抽空总结一下关于这几年使用MYSQL的时候关于MYSQL数据库的权限管理的经验,也希望能对使用mysql的网友有所帮助!

一、MYSQL权限简介

关于mysql的权限简单的理解就是mysql允许你做你权利以内的事情,不可以越界。比如只允许你执行select操作，那么你就不能执行update操作。只允许你从某台机器上连接mysql，那么你就不能从除那台机器以外的其他机器连接mysql。

那么MYSQL的权限是如何实现的呢？这就要说到mysql的两阶段的验证，下面详细来介绍：第一阶段：服务器首先会检查你是否允许连接。因为创建用户的时候会加上主机限制，可以限制成本地、某个IP、某个IP段、以及任何地方等，只允许你从配置的指定地方登录。后面在实战的时候会详细说关于主机的限制。第二阶段：如果你能连接，MYSQL会检查你发出的每个请求，看你是否有足够的权限实施它。比如你要更新某个表、或者查询某个表，MYSQL会检查你对哪个表或者某个列是否有权限。再比如，你要运行某个存储过程，MYSQL会检查你对存储过程是否有执行权限等。

MYSQL到底都有哪些权限呢？从官网复制一个表来看看：

权限	权限级别	权限说明
CREATE	数据库、表或索引	创建数据库、表或索引权限
DROP	数据库或表	删除数据库或表权限
GRANT OPTION	数据库、表或保存的程序	赋予权限选项
REFERENCES	数据库或表	注释：对外键的使用权限
ALTER	表	更改表，比如添加字段、索引等
DELETE	表	删除数据权限
INDEX	表	索引权限
INSERT	表	插入权限
SELECT	表	查询权限
UPDATE	表	更新权限
CREATE VIEW	视图	创建视图权限
SHOW VIEW	视图	查看视图权限
ALTER ROUTINE	存储过程	更改存储过程权限  注释：grant alter routine on testdb.* to developer@'192.168.0.%'; -- now, you can drop a procedure
CREATE ROUTINE	存储过程	创建存储过程权限  注释：grant create routine on testdb.* to developer@'192.168.0.%'; -- now, can show procedure status
EXECUTE	存储过程	执行存储过程权限
FILE	服务器主机上的文件访问	文件访问权限
CREATE TEMPORARY TABLES	服务器管理	创建临时表权限
LOCK TABLES	服务器管理	锁表权限
CREATE USER	服务器管理	创建用户权限
PROCESS	服务器管理	查看进程权限
RELOAD	服务器管理	执行flush-hosts, flush-logs, flush-privileges, flush-status, flush-tables, flush-threads, refresh, reload等命令的权限 确定用户是否可以执行刷新和重新加载MySQL所用各种内部缓存的特定命令，包括日志、权限、主机、查询和表。
REPLICATION CLIENT	服务器管理	复制权限
REPLICATION SLAVE	服务器管理	复制权限
SHOW DATABASES	服务器管理	查看数据库权限
SHUTDOWN	服务器管理	关闭数据库权限
SUPER	服务器管理	执行kill线程权限

 

MYSQL的权限如何分布，就是针对表可以设置什么权限，针对列可以设置什么权限等等，这个可以从官方文档中的一个表来说明：

权限分布	可能的设置的权限
表权限	'Select', 'Insert', 'Update', 'Delete', 'Create', 'Drop', 'Grant', 'References', 'Index', 'Alter'
列权限	'Select', 'Insert', 'Update', 'References'
过程权限	'Execute', 'Alter Routine', 'Grant'

针对权限这部分，最主要的是要知道MYSQL是如何验证的（两阶段验证），以及mysql各个权限是做什么用的，以及那些权限用在什么地方(表or列？)。如果这些把握了那么MYSQL权限对你来说就是小菜一碟了，只要看一下后面的权限管理就可以融会贯通了。

        

二、MYSQL权限经验原则

权限控制主要是出于安全因素，因此需要遵循一下几个经验原则：

1.  只授予能满足需要的最小权限，防止用户干坏事。哈哈。比如用户只是需要查询，那就只给select权限就可以了，不要给用户赋予update、insert或者delete权限。

2.  创建用户的时候限制用户的登录主机，一般是限制成指定IP或者内网IP段。

3.  初始化数据库的时候删除没有密码的用户。安装完数据库的时候会自动创建一些用户，这些用户默认没有密码。

4.  为每个用户设置满足密码复杂度的密码。

5.  定期清理不需要的用户。回收权限或者删除用户。

 

三、MYSQL权限实战

1.  GRANT命令使用说明

先来看一个例子，创建一个只允许从本地登录的超级用户feihong，并允许将权限赋予别的用户，密码为test@feihong.111

GRANT ALL PRIVILEGES ON *.* TO feihong@'localhost' IDENTIFIED BY 'test@feihong.111' WITH GRANT OPTION;

GRANT命令说明：

ALL PRIVILEGES 是表示所有权限，你也可以使用select、update等权限提到的权限。

ON 用来指定权限针对哪些库和表。

*.* 中前面的*号用来指定数据库名，后面的*号用来指定表名。

TO 表示将权限赋予某个用户。

feihong@'localhost' 表示feihong用户，@后面接限制的主机，可以是IP、IP段、域名以及%，%表示任何地方。注意：这里%有的版本不包括本地，以前碰到过给某个用户设置了%允许任何地方登录，但是在本地登录不了，这个和版本有关系，遇到这个问题再加一个localhost的用户就可以了。

IDENTIFIED BY 指定用户的登录密码。

WITH GRANT OPTION 这个选项表示该用户可以将自己拥有的权限授权给别人。注意：经常有人在创建操作用户的时候不指定WITH GRANT OPTION选项导致后来该用户不能使用GRANT命令创建用户或者给其他用户授权。

备注：可以使用GRANT重复给用户添加权限，权限叠加，比如你先给用户添加了一个select权限，然后又给用户添加了一个insert权限，那么该用户就同时拥有了select和insert权限。

2.  创建一个超级用户

创建一个只允许从本地登录的超级用户feihong，并允许将权限赋予别的用户，密码为test@feihong.111

GRANT ALL PRIVILEGES ON *.* TO feihong@'localhost' IDENTIFIED BY 'test@feihong.111' WITH GRANT OPTION;

3.   创建一个网站用户(程序用户)

创建一个一般的程序用户，这个用户可能只需要SELECT, INSERT, UPDATE, DELETE, CREATE TEMPORARY TABLES等权限如果有存储过程还需要加上EXECUTE权限，一般是指定内网网段192.168.100网段。

GRANT  USAGE,SELECT, INSERT, UPDATE, DELETE, SHOW VIEW ,CREATE TEMPORARY TABLES,EXECUTE ON `test`.* TO webuser@'192.168.100.%' IDENTIFIED BY  'test@feihong.111';

4.  创建一个普通用户(仅有查询权限)

GRANT USAGE,SELECT ON `test`.* TO public@'192.168.100.%' IDENTIFIED BY  'public@feihong.111';

5.  刷新权限

使用这个命令使权限生效，尤其是你对那些权限表user、db、host等做了update或者delete更新的时候。以前遇到过使用grant后权限没有更新的情况，大家可以养成习惯，只要对权限做了更改就使用FLUSH PRIVILEGES命令来刷新权限。

FLUSH PRIVILEGES;

6.  查看权限

使用如下命令可以方便的查看到某个用户的权限：

SHOW GRANTS FOR 'webuser'@'192.168.100.%';

7.  回收权限

将前面创建的webuser用户的DELETE权限回收，使用如下命令

REVOKE DELETE ON test.* FROM 'webuser'@'192.168.100.%';

8.  删除用户

注意删除用户不要使用DELETE直接删除，因为使用DELETE删除后用户的权限并未删除，新建同名用户后又会继承以前的权限。正确的做法是使用DROP USER命令删除用户，比如要删除'webuser'@'192.168.100.%'用户采用如下命令：

DROP USER 'webuser'@'192.168.100.%';