mysql审计权限_mysql数据库环境之二: 用户权限审计管理

最新推荐文章于 2023-06-19 00:30:00 发布
最新推荐文章于 2023-06-19 00:30:00 发布
阅读量1.9k 收藏
点赞数
文章标签: mysql审计权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28452161/article/details/113295990
版权

2.1)mysql的权限:

用户+IP

如:

itpux@127.0.0.1

itpux@localhost

itpux@192.168.31.51

itpux@192.168.31.%

2.2) mysql的各种权限

-- sql语句类

create Create_priv 数据库、表、索引

drop Drop_priv 数据库、表

grant option Grant_priv 数据库、表、存储过程、函数

references References_priv 数据库、表

alter 修改表

delete 删除表

index 索引

insert 插入

select 查询

update 更新

create view 创建视图

show view 查看视图

create temporary tables 创建临时表

lock tables 锁表

create user 创建用户

-- 存储过程

alter routine 修改存储过程

create routine 创建存储过程

execute 执行存储过程

-- 管理类权限

process 服务器管理

reload 重新加载权限表

replication client 服务器管理

replication slave 服务器管理

show databases 查看数据库

shutdown 关闭服务器

super 超级权限

2.3)显示权限

SHOW GRANTS FOR dbaadmin@'localhost';

GRANT ALL PRIVILEGES ON *.* TO 'dbaadmin'@'localhost' WITH GRANT OPTION

显示当前登录用户的权限

mysql> show grants for current_user;

+---------------------------------------------------------------------+

| Grants for root@localhost |

+---------------------------------------------------------------------+

| GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' WITH GRANT OPTION |

| GRANT PROXY ON ''@'' TO 'root'@'localhost' WITH GRANT OPTION |

+---------------------------------------------------------------------+

2 rows in set (0.00 sec)

2.4)创建用户并授权

第一种方式:先创建用户,然后授权

语法:

mysql> help create user

Name: 'CREATE USER'

Description:

Syntax:

CREATE USER [IF NOT EXISTS]

user [auth_option] [, user [auth_option]] ...

[REQUIRE {NONE | tls_option [[AND] tls_option] ...}]

[WITH resource_option [resource_option] ...]

[password_option | lock_option] ...

user:

(see )

auth_option: {

IDENTIFIED BY 'auth_string'

| IDENTIFIED WITH auth_plugin

| IDENTIFIED WITH auth_plugin BY 'auth_string'

| IDENTIFIED WITH auth_plugin AS 'auth_string'

| IDENTIFIED BY PASSWORD 'auth_string'

}

tls_option: {

SSL

| X509

| CIPHER 'cipher'

| ISSUER 'issuer'

| SUBJECT 'subject'

}

resource_option: {

MAX_QUERIES_PER_HOUR count

| MAX_UPDATES_PER_HOUR count

| MAX_CONNECTIONS_PER_HOUR count

| MAX_USER_CONNECTIONS count

}

password_option: {

PASSWORD EXPIRE

| PASSWORD EXPIRE DEFAULT

| PASSWORD EXPIRE NEVER

| PASSWORD EXPIRE INTERVAL N DAY

}

lock_option: {

ACCOUNT LOCK

| ACCOUNT UNLOCK

}

案例

CREATE USER itpux1@localhost;

CREATE USER itpux1@'%' IDENTIFIED BY 'itpux1';

该用户只能登录,没有权限

mysql> show grants for 'itpux1'@'localhost';

+--------------------------------------------+

| Grants for itpux1@localhost |

+--------------------------------------------+

| GRANT USAGE ON *.* TO 'itpux1'@'localhost' |

+--------------------------------------------+

第二种方式,通过grant创建一个有权限的用户

语法:

mysql> help grant

Name: 'GRANT'

Description:

Syntax:

GRANT

priv_type [(column_list)]

[, priv_type [(column_list)]] ...

ON [object_type] priv_level

TO user [auth_option] [, user [auth_option]] ...

[REQUIRE {NONE | tls_option [[AND] tls_option] ...}]

[WITH {GRANT OPTION | resource_option} ...]

GRANT PROXY ON user

TO user [, user] ...

[WITH GRANT OPTION]

object_type: {

TABLE

| FUNCTION

| PROCEDURE

}

priv_level: {

*

| *.*

| db_name.*

| db_name.tbl_name

| tbl_name

| db_name.routine_name

}

user:

(see https://dev.mysql.com/doc/refman/5.7/en/account-names.html)

auth_option: {

IDENTIFIED BY 'auth_string'

| IDENTIFIED WITH auth_plugin

| IDENTIFIED WITH auth_plugin BY 'auth_string'

| IDENTIFIED WITH auth_plugin AS 'auth_string'

| IDENTIFIED BY PASSWORD 'auth_string'

}

tls_option: {

SSL

| X509

| CIPHER 'cipher'

| ISSUER 'issuer'

| SUBJECT 'subject'

}

resource_option: {

| MAX_QUERIES_PER_HOUR count

| MAX_UPDATES_PER_HOUR count

| MAX_CONNECTIONS_PER_HOUR count

| MAX_USER_CONNECTIONS count

}

案例:

GRANT ALL PRIVILEGES ON *.* TO 'itpux2'@'%' IDENTIFIED BY 'itpux2';

授权的访问

on *.* ---- mysql.user表

on 库名.* ---- mysql.db表

on 库名.表名 ---- mysql.table_priv

on 库名.表名.列名 ---- mysql.columns_priv

mysql> show grants for 'itpux2'@'%';

+---------------------------------------------+

| Grants for itpux2@% |

+---------------------------------------------+

| GRANT ALL PRIVILEGES ON *.* TO 'itpux2'@'%' |

+---------------------------------------------+

1 row in set (0.00 sec)

刷新权限

flush privileges;

2.5)授权案例

1)授权普通数据用户,具有查询、插入、更新、删除数据库所有表数据的权限

GRANT SELECT,INSERT,UPDATE,DELETE ON itpux.* TO 'itpux3'@'%' IDENTIFIED BY 'itpux3';

flush privileges;

[root@itpuxdb ~]# mysql -u itpux3 -h 192.168.31.51 -p

Enter password:

mysql> show databases;

+--------------------+

| Database |

+--------------------+

| information_schema |

| itpux |

+--------------------+

2 rows in set (0.00 sec)

2)开发人员授权 (创建表/索引/视图/存储过程)

create user dev@'%' identified by 'dev123456';

grant create,drop,alter,delete,update,insert,select,index,create view,show view,create temporary tables,lock tables,alter routine,create routine,execute on itpux.* to 'dev'@'%';

flush privileges;

mysql> show grants for dev@'%';

+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

| Grants for dev@% |

+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

| GRANT USAGE ON *.* TO 'dev'@'%' |

| GRANT REFERENCES,SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE ON `itpux`.* TO 'dev'@'%' |

+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

2 rows in set (0.00 sec)

3)授权dba可以管理数据库所有权限

create user dbaadmin@'%' identified by 'dba123456';

grant all privileges on *.* to 'dbaadmin'@'%';

flush privileges;

4)针对单个列

grant select(deptno,dname) on itpux.dept to dev@'localhost'

flush privileges;

2.6)权限回收

mysql> help revoke

Name: 'REVOKE'

Description:

Syntax:

REVOKE

priv_type [(column_list)]

[, priv_type [(column_list)]] ...

ON [object_type] priv_level

FROM user [, user] ...

REVOKE ALL [PRIVILEGES], GRANT OPTION

FROM user [, user] ...

REVOKE PROXY ON user

FROM user [, user] ...

技巧: 把to改成from

2.8)删除用户

drop user itpux3@'%';

drop user itpux2@'%';

drop user itpux1@'localhost';

mysql> select host,user from mysql.user;

2.9)修改用户密码

第一种:知道原密码

A 通过修改mysql.user表

update mysql.user set authentication_string=PASSWORD('Lsf@8816') where user='root';

flush privileges;

B 通过alter user

mysql> alter user root@'localhost' identified by 'Aa123456';

Query OK, 0 rows affected (0.00 sec)

mysql> flush privileges;

Query OK, 0 rows affected (0.00 sec)

C 通过grant更改密码

mysql> grant usage on *.* to 'dbaadmin'@'%' identified by 'dba123456';

Query OK, 0 rows affected, 1 warning (0.00 sec)

mysql> flush privileges;

Query OK, 0 rows affected (0.00 sec)

第二种:root密码忘记

停止数据库

在my.cnf添加--skip-grant-tables

启动数据库

登录数据库

update mysql.user set authentication_string=PASSWORD('Lsf@8816') where user='root';

flush privileges;

删除--skip-grant-tables

重启数据库

2.10)免密数据库登录

使用login-path

[root@itpuxdb ~]# mysql_config_editor set --login-path=dbaadmin --user=dbaadmin --password=dba123456 --host=localhost

mysql_config_editor: [ERROR] mysql_config_editor: option '--password' cannot take an argument

[root@itpuxdb ~]# mysql_config_editor set --login-path=dbaadmin --user=dbaadmin --password --host=localhost

Enter password:

[root@itpuxdb ~]# mysql_config_editor print --all

[dbaadmin]

user = dbaadmin

password = *****

host = localhost

[root@itpuxdb ~]# mysql --login-path=dbaadmin

Welcome to the MySQL monitor. Commands end with ; or \g.

Your MySQL connection id is 22

Server version: 5.7.30-log MySQL Community Server (GPL)

Copyright (c) 2000, 2020, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its

affiliates. Other names may be trademarks of their respective

owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>

2.11)mysql角色管理

mysql5.7:proxies_priv

角色(role)可以批量管理用户,用一个角色下面的数据都有具有相同的权限

SHOW VARIABLES LIKE '%proxy%';

SET GLOBAL check_proxy_users=ON;

SET GLOBAL mysql_native_password_proxy_users=ON;

-- 如果永久打开,需要加到my.cnf,重启才能生效

-- 创建用户

CREATE USER 'itpux_dba';

CREATE USER 'itpux_a';

CREATE USER 'itpux_b';

CREATE USER 'itpux_c';

-- 权限映射

GRANT proxy ON itpux_dba TO itpux_a;

GRANT proxy ON itpux_dba TO itpux_b;

-- 给itpux_dba赋予实际权限

GRANT SELECT,INSERT,UPDATE ON itpux.* TO 'itpux_dba';

FLUSH PRIVILEGES;

-- 检查权限并设置

SHOW GRANTS FOR itpux_dba;

-- GRANT SELECT, INSERT, UPDATE ON `itpux`.* TO 'itpux_dba'@'%'

SHOW GRANTS FOR itpux_a;

-- GRANT PROXY ON 'itpux_dba'@'%' TO 'itpux_a'@'%'

SHOW GRANTS FOR itpux_b;

-- GRANT PROXY ON 'itpux_dba'@'%' TO 'itpux_b'@'%'

mysql> SELECT * FROM mysql.proxies_priv;

+-----------+---------+--------------+--------------+------------+----------------------+---------------------+

| Host | User | Proxied_host | Proxied_user | With_grant | Grantor | Timestamp |

+-----------+---------+--------------+--------------+------------+----------------------+---------------------+

| localhost | root | | | 1 | boot@connecting host | 0000-00-00 00:00:00 |

| % | itpux_a | % | itpux_dba | 0 | root@localhost | 0000-00-00 00:00:00 |

| % | itpux_b | % | itpux_dba | 0 | root@localhost | 0000-00-00 00:00:00 |

+-----------+---------+--------------+--------------+------------+----------------------+---------------------+

3 rows in set (0.00 sec)

2.11)mysql安全之审计

张浩驰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mmall_管理_权限管理mysql_权限_
10-03
- **用户管理**:创建、修改和删除用户,以及管理用户的登录信息。 - **角色管理**:定义不同的角色,如管理员、普通用户等,每个角色有特定的权限集合。 - **权限管理**:设置和分配权限权限可以是操作系统的命令...
MySQL——授权,角色和审计
小宝的博客
11-06 1335
授权 SQL中使用grant 和 remove 语句向用户授权或收回对数据的操作权限。 grant语句向用户授予权限,remove语句收回已经授予用户的权限。 1.GRANT grant语句的一般格式为: grant <权限> on <对象类型><对象名> to <用户> whit grant option 补充:public时全体用户。 如果指定了with grant option 子句,则获得某种权限的用户还可以把这种权限再授予其他用户。
MYSQL用户管理
jayewu的博客
05-04 210
MySQL权限级别全局性的管理权限,作用于整个MySQL实例级别数据库级别的权限,作用于某个指定的数据库上或者所有的数据库数据库对象级别的权限,作用于指定的数据库对象上(表、视图等)或 者所有的数据库对象上权限存储在mysql库的user, db, tables_priv, columns_priv, and procs_priv这几个系统表中,待MySQL实例启动后就加载到内存中   MYSQ...
mysql审计权限_MySQL 对普通用户(没有super)开启审计功能
weixin_39831001的博客
01-20 419
最近有发现有坏蛋delete 了数据,找不到是哪个user 哪个host,发现mysql 是可以对没有super 权限的用户开启审计功能,oracle早就实现了,只需要打开参数即可。1.在my.cnf [mysqld]组下加入init-connect='insert intoaduit.accesslog(id,time,localname,matchname)values(connection_...
mysql三权分立
weixin_45023621的博客
08-08 4864
MySQL配置三权分立
mysql的三权分立_GaussDB(DWS) 数据库安全设置之三权分立
weixin_30711615的博客
02-19 2956
GaussDB(DWS)创建集群时默认用户是SYSADMIN属性的系统管理员,具备系统最高权限。在实际业务管理中,为了避免系统管理员拥有过度集中的权利带来高风险,可以设置三权分立,将系统管理员的权限分立给安全管理员和审计管理员。三权分立后,系统管理员将不再具有CREATEROLE属性(安全管理员)和AUDITADMIN属性(审计管理员)能力。即不再拥有创建角色和用户的权限,并不再拥有查看和维护数据...
db.rar_c++ 数据库_审计_数据库_数据库审计
09-14
数据库审计的核心目标是记录并分析数据库系统的活动,包括用户访问、数据修改以及系统事件。这有助于追踪异常行为,检测潜在的安全漏洞,并满足法规遵从性要求。C++在实现这一目标时,可以利用其底层控制能力来精确...
mysql用户权限管理实例分析
09-08
MySQL用户权限管理数据库系统中一个至关重要的环节,它确保了数据的安全性和访问控制,防止未经授权的用户访问或操作...通过学习和掌握这些概念,你可以更好地管理你的MySQL数据库,为用户提供合适且安全的访问权限
MySQL创建用户和权限管理的方法
09-08
MySQL数据库系统中,用户管理权限控制是数据库安全的核心部分。本文将深入讲解如何在MySQL中创建用户、管理用户权限,以及撤销权限。这有助于确保数据的安全性,并防止未经授权的访问。 首先,让我们讨论如何...
MySQL.zip_MYSQL_MySQL抓包数据协议分析_mysql审计_抓包_数据审计
09-15
MySQL数据库是世界上最受欢迎的关系型数据库管理系统之一,广泛应用于各种规模的企业和项目中。在进行数据库审计和监控时,理解MySQL的数据通信协议是非常重要的。本文将深入探讨MySQL抓包数据协议分析,以及如何...
windocs服务器漏洞修复(二)
冰恋云的专栏
04-30 2698
二、MySQL数据库 1.无鉴别信息复杂度校验机制(高风险) 建议数据库所在数据库鉴别信息复杂度策略设置为: validate_password_length 8 validat_ password_mixed_case_count 1 validate_password_number_count 1 validate_password policy MEDIUM validate_password_special_char_count 1,且未定期更换。 2.未重命名默认账户root 建议重命名默认.
等保三级安全加固,服务器三权分立设置,mysql密码策略登录策略
莎拉拉吗酷奇的博客
04-20 4495
等保三级mysql和centos7整改。 服务器三权分立设置。mysql数据库密码和登录策略设置等
MYSQL8安全之审计管理
识途老码
04-26 4770
MYSQL8安全之审计管理
数据安全管理权限管理
武天旭的博客
06-19 2017
权限管理的安全措施有:【权限最小化】、【账号分离】、【账号不共享】、【权限审批】、【权限注销】、【权限审计】、【操作日志留存】、【权限统一管理】、【权限监控告警】
mysql5.7的资源限制策略_MYSQL中限制资源的使用
weixin_31889919的博客
01-19 143
今天看到手册,不小心看到了这里,自己做了几个例子。从MYSQL4.x开始,MYSQL就增加了以每个用户为基础,限制MYSQL服务器的资源利用。自己查看MYSQL.USER 表就会发现里面最后几个字段:mysql> select version();+------------------------------------+| version()...
mysql5.7系列教程(四)安全
青龙小码农
08-13 341
密码安全 mysql -u root -p db_name Enter password: ******** 2.配置文件中保存密码 you can list your password in the [client] section of the .my.cnf file in your home directory: [client] password=your_pass 为了保证密码的安...
mysql5.7的资源限制策略_MySQL数据库MySQL-5.7密码策略及用户资源限制
weixin_35710893的博客
01-19 162
本文主要向大家介绍了MySQL数据库MySQL-5.7密码策略及用户资源限制 ,通过具体的内容向大家展现,希望对大家学习MySQL数据库有所帮助。1.密码策略在mysql5.6对密码的强度进行了加强,推出了validate_password插件。支持密码的强度要求。(1)安装插件[root@localhost~]#ll/usr/local/mysql/lib/plugin/valida...
MySQL Audit 审计
weixin_44781213的博客
06-24 948
审计插件的选择: 市面上有三种免费的审计插件 mariadb percona McAfee 其中,McAfee的最容易获得,我们选用McAfee的审计插件。 mysql-audit下载地址 1. 部署mysql-audit 1.1 确定本机MySQL插件的位置 mysql [(none)]> show global variables like 'plugin_dir'; +---------------+-------------------------------+ | Variable_na
mysql审计用户权限
最新发布
08-24
创建审计用户主要是为了对数据库及表进行查看权限,即可以执行show databases, show view和select语句。 具体实现步骤如下: 1. 使用以下命令在命令行中创建审计用户: ```mysql -uroot -proot -e "create user 'shenji'@localhost identified by 'shenji'" 2>/dev/null``` 2. 使用以下命令在命令行中创建审计用户的远程访问权限: ```mysql -uroot -proot -e "create user 'shenji'@'%' identified by 'shenji'" 2>/dev/null``` 这样就成功创建了一个名为'shenji'的审计用户,并且该用户拥有对数据库和表的查看权限。 需要注意的是,根据,在MySQL中,账户名的命名规则是有一定限制的。有关更多账户名的规则和限制,请参考提供的文档链接。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [mysql之用户三权分立](https://blog.csdn.net/weixin_43279032/article/details/104004215)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [mysql数据库环境之二用户权限审计管理](https://blog.csdn.net/weixin_28452161/article/details/113295990)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值