MYSQL 8.0之安全篇

最新推荐文章于 2024-10-10 10:24:36 发布
最新推荐文章于 2024-10-10 10:24:36 发布
阅读量2k 收藏 3
点赞数
分类专栏: 后台开发 MYSQL 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lymboy/article/details/106421763
版权
本文详细介绍了MYSQL 8.0的安全特性,包括密码认证策略的修改与卸载、密码加密方式的选择,以及访问控制和账户管理的各个方面。重点讲解了连接验证和请求验证的两个阶段,以及如何创建、修改和管理账户权限。文章还提到了账户锁定、密码过期策略、重用限制和验证要求,强调了安全管理和密码管理在数据库安全中的重要性。
摘要由CSDN通过智能技术生成

欢迎关注笔者的微信公众号

本文是笔者基于MYSQL8.0官方手册并结合自身实际经验编写,不足之处欢迎指出。编写不易,欢迎署名转载。

密码认证组件

MYSQL是一个组件式架构,MYSQL 8.0+默认启用了密码校验组件validate_password,它强迫你设置很复杂的密码以保证数据库安全,对于个人来说,你不能设置如123456这样的密码,当你在设置这样的密码的时候会报如下错误:

ERROR 1819 (HY000): Your password does not satisfy the current policy requirements

笔者认为这对于个人学习而言非常碍事,解决方案有两种:

  • 修改密码认证策略

  • 卸载密码认证组件

修改密码认证策略

官方文档

  1. 查看当前认证策略

    mysql> SHOW VARIABLES LIKE 'validate_password.%';

在这里插入图片描述
这几个认证策略就不一一解释了,就是字面意思。

  1. 修改认证策略

    • 设置密码长度为4个字符

      mysql> SET GLOBAL validate_password_length = 4;

    • 设置认证策略低级

      SET GLOBAL validate_password_policy=LOW;

    其他的参数照着改就行,最后最好重启一下服务器。

卸载密码认证组件

官方文档

笔者觉得MYSQL 8.0+默认的密码认证策略非常碍事,所以直接卸载掉了;

  • 卸载密码认证组件

    UNINSTALL COMPONENT 'file://component_validate_password';

  • 安装密码认证组件

    INSTALL COMPONENT 'file://component_validate_password';

密码加密方式

官方文档

问题

在MYSQL 8.0中包含了一下三种加密插件

  • caching_sha2_password

  • sha256_password

  • mysql_native_password

mysql_native_password插件相比,caching_sha2_passwordsha256_password身份验证插件提供了更安全的密码加密。且caching_sha2_password在性能上优于sha256_password,因此在MYSQL 8.0中caching_sha2_password成为了默认的加密插件。

  • 修改MYSQL配置文件:/etc/my.cnf

    vim /etc/my.cnf
...
[mysqld]
default_authentication_plugin=mysql_native_password
...

  • 也可以在服务器启动时添加命令行参数

     --default-authentication-plugin=mysql_native_password 加上  --initialize选项 或者 --initialize-insecure选项

这种方法是为了兼容那些旧版本客户端能连接到新版本的MYSQL服务器,最好的做法是不要更改服务端参数,而是升级客户端,对于Java程序员来说,升级MYSQL驱动到8.0.9或更高的版本。

修改现有账户的加密方式

在MYSQL安装的时候默认创建了'root'@'localhost'账号,因此只要修改了账户的加密方式旧版的客户端就可以通过此账号密码连接数据库。

ALTER USER 'root'@'localhost'  IDENTIFIED WITH mysql_native_password  BY 'password';

访问控制和账户管理

用户名和密码

官方文档

默认情况下,MYSQL将用户名和连接主机信息存储在user表,位于mysql系统数据库中。

注意

在MYSQL中,用户名相同,连接主机不同被认为是两个账号。

在这里插入图片描述
%表示这个账号可从任何IP地址连接到服务器端。

默认情况下MYSQL只创建了'root'@'localhost'这个账号,这只能从本地连接到数据库,如果要远程连接需要创建新的用户,连接主机IP设为%,笔者这里创建了replroot两个可从远程连接的账户。

下面是MYSQL关于用户名和账户的一些注意事项:

  • MYSQL的用户名最大长度限制为32字符长度,这是一种硬编码,无法更改。

  • MYSQL的账户密码通过加密插件加密后存储在user表中。

  • 如果用户名和密码使用了非ASCII字符,那么可以在连接时通过MYSQL_SET_CHARSET_NAME选项指定。

  • MYSQL不支持ucs2, utf16, utf32,这三种字符集。

  • 如果在命令行中通过--password-p选项指定密码,那么密码与选项之间不允许有空白。

    $ mysql -u finley -p db_name

    以上db_name会认为是连接的数据库名而不是密码。

    $ mysql -u finley -ppassword db_name

MYSQL特权

官方文档](https://dev.mysql.com/doc/refman/8.0/en/privileges-provided.html)

MYSQL中的特权是MYSQL用来判断账户是否具有能执行某种操作的凭证。

MYSQL中特权分三类:

  • 管理员特权,这是全局特权,可以操作整个服务器资源,root用户就是管理员特权,可以操作所有资源

  • 数据库特权,适用于数据库及其中的所有对象。可以为特定数据库或全局授予这些特权,以便将它们应用于所有数据库。

  • 可以为数据库中的特定对象,数据库中给定类型的所有对象(例如数据库中的所有表)或所有对象的全局对象授予表,索引,视图和存储例程等数据库对象的特权。所有数据库中给定类型的对象。

特权分类

MYSQL特权分为静态特权和动态特权,特权是静态的(内置于服务器中)还是动态的(在运行时定义)对MYSQL行为有不同的影响。特权是静态还是动态会影响将其授予用户帐户和角色的可用性。

MYSQL的特权信息存储在mysql数据库中,具体的数据表下一章会介绍。

静态特权
特权 表中字段 上下文
ALL PRIVILEGES Synonym for “all privileges” Server administration
ALTER Alter_priv Tables
ALTER ROUTINE Alter_routine_priv Stored routines
CREATE Create_priv Databases, tables, or indexes
CREATE ROLE Create_role_priv Server administration
CREATE ROUTINE Create_routine_priv Stored routines
CREATE TABLESPACE Create_tablespace_priv Server administration
CREATE TEMPORARY TABLES Create_tmp_table_priv Tables
CREATE USER Create_user_priv Server administration
CREATE VIEW Create_view_priv Views
DELETE Delete_priv Tables
DROP Drop_priv Databases, tables, or views
DROP ROLE Drop_role_priv Server administration
EVENT Event_priv Databases
EXECUTE Execute_priv Stored routines
FILE File_priv File access on server host
GRANT OPTION Grant_priv Databases, tables, or stored routines
INDEX Index_priv Tables
INSERT Insert_priv Tables or columns
LOCK TABLES Lock_tables_priv Databases
PROCESS Process_priv Server administration
PROXY See proxies_priv table Server administration
REFERENCES References_priv Databases or tables
RELOAD Reload_priv Server administration
REPLICATION CLIENT Repl_client_priv Server administration
REPLICATION SLAVE Repl_slave_priv Server administration
SELECT Select_priv Tables or columns
SHOW DATABASES Show_db_priv Server administration
SHOW VIEW Show_view_priv Views
SHUTDOWN Shutdown_priv Server administration
SUPER Super_priv Server administration
TRIGGER Trigger_priv Tables
UPDATE Update_priv Tables or columns
USAGE Synonym for "no privileges" Server administration
动态特权
特权 上下文
APPLICATION_PASSWORD_ADMIN Dual password administration
AUDIT_ADMIN Audit log administration
BACKUP_ADMIN Backup administration
BINLOG_ADMIN Backup and Replication administration
BINLOG_ENCRYPTION_ADMIN Backup and Replication administration
CLONE_ADMIN Clone administration
CONNECTION_ADMIN Server administration
ENCRYPTION_KEY_ADMIN Server administration
FIREWALL_ADMIN Firewall administration
FIREWALL_USER Firewall administration
GROUP_REPLICATION_ADMIN
最低0.47元/天 解锁文章
lymboy
关注
专栏目录
centos升级mysql8漏洞修复
qq_36378416的博客
05-17 1419
一定要保留和备份原来的mysql 数据库服务及 数据,只有新的mysql服务启动并导入数据成功后,在进行服务替换操作。确保本机原来的服务停止,新的服务占用3308端口,配置和原来保持一致。新服务可用后,将开机自启服务替换为新的服务。
MySQL基础13【MySQL8.0新特性】
大脑不能为空
08-21 1452
MySQL8.0的新特性,窗口函数、公用表表达式等
Mysql8.0 安全配置
Neviller_Ma的博客
10-19 1584
Mysql8.0 安全配置
外网访问 MySQL 服务
最新发布
lyxnwct的博客
10-10 1044
MySQL 是现在很常用的主流数据库之一,有一些办公系统需要直连数据库,但是在本地局域网搭建数据库服务后,需要在其他局域网连接,比如分支办公室,由于本地没有公网 IP 或者没有路由权限就无法跨局域网或从外部直接访问,如何安装 MySQL 以及如何通过路由侠实现外网访问内网的 MySQL 服务。
MySQL 8.0用户及安全管理
数据库学习ing
05-17 658
mysql 8.0中,使用了新的密码插件caching_sha2_password,修改后更加安全不容易被破解,但是新的密码插件可能会导致一些客户端无法连接到mysql,不兼容sha2。2.修改用户的密码插件为老版本的mysql_native_password。1)安全模式启动数据库,不加载授权表,也关闭TCP、IP协议,只能使scoket本地连接。解决办法:1.建用户时修改加密插件为老版本的mysql_native_password。root是超级管理员,前三个是系统自带的,不能修改。
Mysql8.0新特性 学习笔记】- 第一章 账户与安全
摩羯座de杰杰陆的博客
08-05 462
第一章 账户与安全一、用户创建与授权1.1、用户创建和授权1.1.1、MySQL5.7版本创建用户1.1.2、MySQL8.0版本创建用户1.2、认证插件更新1.2.1、MySQL5.7与MySQL8.0的身份认证插件的区别1.2.1、在不更改客户端的情况下如何登陆1.2.1.1、重启修改配置文件的方式1.2.1.2、修改mysql数据库中user表1.3、密码管理1.3.1、密码策略1.3.2、...
Mysql数据库的安全设置方法大全
收集盒 Book box
09-12 1988
MySQL 是一个真正的多用户、多线程SQL数据库服务器,它是一个客户机/服务器结构的实现。MySQL是现在流行的关系数据库中其中的一种,相比其它的数据库管理系统(DBMS)来说,MySQL具有小巧、功能齐全、查询迅捷等优点。MySQL 主要目标是快速、健壮和易用。目前,在大中型企业中已经得到了较好的运用,但是由于它是多平台的数据库,不可避免的默认配置也是适合多种情况的需求,因此需要用户需要在自定
MySQL 8.0 Reference Manual
02-01
通过这参考手册,用户可以深入理解MySQL 8.0的各种特性和使用方法,从而更有效地管理和使用MySQL数据库。无论是新手还是老手,都应当通过阅读官方的参考手册来保持对MySQL最新动态的了解。同时,对于任何在实际...
SQLyog连接MySQL8.0报2058错误的完美解决方法
09-09
MySQL 8.0为了提高安全性,采用了更强大的`caching_sha2_password`加密方式。然而,像SQLyog这样的老版本管理工具可能未更新以适应这种变化,导致它们无法正确解析使用新算法加密的密码,从而引发2058错误。 2. ...
mysql8.0的驱动
03-29
在本文章中,我们将深入探讨MySQL 8.0驱动的细节、功能、安装和使用方法。 首先,`mysql-connector-java-8.0.28.jar` 文件是MySQL提供的Java驱动程序,版本号8.0.28。这个JAR文件包含了所有必要的类和资源,使得...
MySQL安全模式运行并跳过权限验证
xtdhqdhq的专栏
12-17 1807
window 下: 在my.ini 配置文件中添加 --skip-grant-tables,重启MySQL服务。 linux下: # /usr/bin/safe_mysqld --skip-grant-tables
mysql8.0注意事项
柯的博客
12-05 748
1.需要将驱动更换为:com.mysql.cj.jdbc.Driver 2.需要将jar包更新到8.0以后的版本 3.jdbc:mysql://localhost:3306/database?useUnicode=true&serverTimezone=GMT%2B8&useSSL=false&allowPublicKeyRetrieval=true&chara...
mysql8连接问题_MySQL8.0 连接问题
weixin_32537261的博客
01-19 862
使用原有工具连接MySQL会出现连不上的问题,原因在于8.0已更改安全认证方式,原有工具还没有跟上导致。创建用户并授权root@yq 16:08: [mysql]> create user 'yqtest'@'%' identified by '123456';Query OK, 0 rows affected (0.01 sec)root@yq 16:10: [mysql]> g...
mysql8.0版本修复自增列值重复利用情况(修复bug#199)
weixin_34348174的博客
07-13 1165
注意:mysql8.0之前的版本,InnoDB存储引擎的表自增id可能出现重复利用的情况。 这在很多场景下可能导致问题,包括但不限于:主备切换、历史数据迁移等场景。在bug#199下面一大堆的回复里,可以看到大量的同行抱怨。如,假设t1有个历史表t1_history用来存t1表的历史数据,那么mysqld重启前,ti_history表中可能已经有了(2,2)这条数据,而...
关于mysql的secure_auth
djvc的专栏
07-23 9407
mysql_connect(): Connection using old (pre-4.1.1) authentication protocol refused (client option 'secure_auth' enabled)
【漏洞提示】MySQL8.0.29因重大bug官网已下架
fashion的博客
12-02 1997
前阵子,MySQL官网已经将 MySQL 8.0.29版本下架。据悉下架原因是由于MySQL 8.0.29 存在关于InnoDB解释器的重大Bug。而最新版本 8.0.30及以上的版本已修复此漏洞。
mysql8数据库脚本升级,处理mysql数据库漏洞(centos6.5)
xuexiyangaaa的博客
07-01 402
数据库升级
MySQL8 漏洞处理之小版本升级8.0.21升级至8.0.34
SummerGao
10-07 1990
MySQL8 漏洞处理之小版本升级8.0.21升级至8.0.34
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值