一. MySQL 权限的两个阶段
- 第一阶段为连接验证,主要限制用户连接 mysql-server 时使用的 ip及密码。
- 第二阶段为操作检查,主要检查用户执行的指令是否被允许,一般非管理员账户不被允许执行
drop、delete 等危险操作。
二. 权限控制安全准则
只授予能满足需要的最小权限,防止用户执行危险操作。
2. 限制用户的登录主机,防止不速之客登录数据库。
3. 禁止或删除没有密码的用户。
4. 禁止用户使用弱密码。
5. 定期清理无效的用户,回收权限或者删除用户。
三.常用操作
1. 创建账户、权限授予
- 8.0 之前版本
GRANT ALL PRIVILEGES on
*.*
to'用户名'
@'主机'
IDENTIFIED BY"密码"
WITH
GRANT OPTION;
flush privileges;-- 刷新使权限生效
- ALL PRIVILEGES:
授予全部权限, 也可以指定
select
,insert
,update
,delete
,create
,drop
,index
,alter
,grant
,references
,reload
,shutdown
,process
,file
十四个权限。
WITH GRANT OPTION
: 带有该子句说明允许用户将自己拥有的权限授予别人。 *.* :
允许操作的数据库和表- 主机名:
表示允许用户从哪个主机登录, % 表示允许从任意主机登录 - 8.0 之后的版本
CREATE USER
用户名
@主机
IDENTIFIED BY ‘密码’; – 创建账户
GRANT ALL ON . TO用户名
@主机
WITH GRANT OPTION; – 授权
2. 修改密码
update user set authentication_string=password('你的密码') where user="root"
或者
alter user '用户名'@'主机' identified with mysql_native_password by '你的密码';
3. 查看权限
show grants; -- 查看当前用户的权限
show grants for 'abc'@'localhost'; -- 查看用户 abc 的权限
4. 回收权限
revoke all privileges on *.* from 'abc'@'localhost'; -- 回收用户 abc 的所有
权限
revoke grant option on *.* from 'abc'@'localhost'; -- 回收权限的传递
5. 删除用户
use mysql;
select host, user from user;
drop user 用户名@'%';
6. 创建一个允许任意主机登录的账号
GRANT ALL PRIVILEGES on *.* to 'zhangsan'@'%' IDENTIFIED BY "密码" WITH GRANT
OPTION;
flush privileges;
- 修改mysql配置文件(不同操作系统,不同MySql版本,配置文件存储不同,ubuntu18.04配置文
件保存在/etc/mysql/mysql.conf.d/mysqld.cnf; Centos7.7 配合文件保存在 /etc/my.cnf)
sudo vim /etc/my.cnf
将 bind-address=127.0.0.1
代码注释掉(如果这段代码存在的话),让计算机允许mysql远程登录。
- 打开服务器的 3306 端口。
- 使用客户端远程登录到mysql数据库。
sudo mysql -uzhangsan -h 远端服务器地址 -P 3306 -p