mysql 修改用户的hosts_更改用户host留下的坑

最新推荐文章于 2024-08-31 09:46:20 发布
最新推荐文章于 2024-08-31 09:46:20 发布
阅读量2.9k 收藏 1
点赞数
文章标签: mysql 修改用户的hosts
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42322782/article/details/113154035
版权

前言:

我们在创建数据库用户的时候都会指定host,即一个完整的用户可描述为 'username'@'host' 。创建用户时不显式指定host则默认为%,%代表所有ip段都可以使用这个用户,我们也可以指定host为某个ip或ip段,这样会仅允许在指定的ip主机使用该数据库用户。不过你也应该明白 'username'@'%' 和 'username'@'192.168.6.%' 是两个毫无关联的用户,这两个用户可以有不同的密码和权限,这里不建议创建多个同名不同host的用户,还有不要轻易更改用户的host,笔者曾经遇到过因为更改用户host引发的故障,下面将其分享出来,为你讲述前因后果。

1.故障模拟

当时为了规范安全,将某个程序用户的host由%改为了应用服务器ip段,过段时间业务反馈某些功能报错,经排查发现是因为无法调用存储过程(大家可以先思考下原因),下面模拟下故障操作。

# 原有用户、表、存储过程模拟创建

mysql> create user 'testuser'@'%' identified by '123456';

Query OK, 0 rows affected (0.04 sec)

mysql> grant select,insert,update,delete,execute on `testdb`.* to 'testuser'@'%';

Query OK, 0 rows affected (0.01 sec)

mysql> flush privileges;

Query OK, 0 rows affected (0.00 sec)

mysql> show grants for 'testuser'@'%';

+-------------------------------------------------------------------------------+

| Grants for testuser@% |

+-------------------------------------------------------------------------------+

| GRANT USAGE ON *.* TO 'testuser'@'%' |

| GRANT SELECT, INSERT, UPDATE, DELETE, EXECUTE ON `testdb`.* TO 'testuser'@'%' |

+-------------------------------------------------------------------------------+

CREATE TABLE `students` (

`id` int(11) NOT NULL ,

`name` varchar(20),

`age` int(11),

PRIMARY KEY (`id`)

) ENGINE=InnoDB ;

INSERT INTO `students` VALUES ('1001', 'lodd', '23');

INSERT INTO `students` VALUES ('1002', 'sdfs', '21');

INSERT INTO `students` VALUES ('1003', 'sdfsa', '24');

DROP PROCEDURE IF EXISTS select_students_count;

DELIMITER $$

CREATE DEFINER=`testuser`@`%` PROCEDURE `select_students_count`()

BEGIN

SELECT count(id) from students;

END

$$

DELIMITER ;

# 使用testuser用户调用存储过程 调用正常

mysql> call select_students_count();

+-----------+

| count(id) |

+-----------+

| 3 |

+-----------+

# 更改用户host 重命名用户

mysql> RENAME USER 'testuser'@'%' to 'testuser'@'192.168.6.%';

Query OK, 0 rows affected (0.00 sec)

mysql> flush privileges;

Query OK, 0 rows affected (0.01 sec)

mysql> show grants for 'testuser'@'192.168.6.%';

+---------------------------------------------------------------------------------------+

| Grants for testuser@localhost |

+---------------------------------------------------------------------------------------+

| GRANT USAGE ON *.* TO 'testuser'@'localhost' |

| GRANT SELECT, INSERT, UPDATE, DELETE, EXECUTE ON `testdb`.* TO 'testuser'@'localhost' |

+---------------------------------------------------------------------------------------+

# 再次用testuser用户调用存储过程 无法调用 出现故障

mysql> call select_students_count();

ERROR 1449 (HY000): The user specified as a definer ('testuser'@'%') does not exist

2.故障排查与解决

其实我们手动调用下存储过程后,从报错内容明显可以看出是因为'testuser@'%'用户不存在的问题。因为该存储过程的定义者是'testuser@'%',而我们将此用户的host改成了192.168.6.%,那么当我们之后调用该存储过程时,系统判别到此存储过程的属主用户不存在,因此系统拒绝请求并抛出异常。

当知道上述原因后,解决方法就会明朗许多,我们只需要将该存储过程的属主改为新的用户即可。其实更改过用户后,该用户下的视图、存储过程、函数、触发器、事件都会受到影响,当我们定义视图、存储过程、函数时使用 DEFINER 属性时,若调用这些对象,系统会首先判别此对象的属主用户是否存在,不存在会直接抛出错误。

此问题的解决方案有两种,一是将此存储过程的安全属性由 DEFINER 改为 INVOKER ,个人不推荐这个方案,至于 DEFINER 和 INVOKER 的区别,下个章节会额外讲解。二是更改此存储过程的属主,下面给出更改方法并加以验证:

# 通过系统表更改存储过程的属主

mysql> update mysql.proc set definer='testuser@192.168.6.%' where db='testdb' and name='select_students_count' and type='PROCEDURE';

Query OK, 1 row affected (0.01 sec)

Rows matched: 1 Changed: 1 Warnings: 0

# 使用testuser用户调用验证 调用成功

mysql> call select_students_count();

+-----------+

| count(id) |

+-----------+

| 3 |

+-----------+

1 row in set (0.00 sec)

3.DEFINER与INVOKER拓展知识

MySQL中,创建视图(view)、函数(function)、存储过程(procedure)、触发器(trigger)、事件(event)时,可以指定安全验证方式(也就是SQL SECURITY)属性,其值可以为DEFINER或INVOKER,表示在执行过程中,使用谁的权限来执行。

DEFINER:由definer(定义者)指定的用户的权限来执行

INVOKER:由调用这个视图(存储过程)的用户的权限来执行

默认情况下,系统指定为DEFINER。当SQL SECURITY属性为DEFINER时,数据库中必须存在DEFINER指定的用户,并且该用户拥有对应的操作权限及引用的相关对象的权限,才能成功执行。与当前用户是否有权限无关。当SQL SECURITY属性为INVOKER时,只要执行者有执行权限并且有引用的相关对象的权限,就可以成功执行。

了解了上述知识后,可能你早已明白上述故障发生的前因后果。在日常生产中,不建议使用INVOKER属性,因为将SQL SECURITY定义为INVOKER后,其他用户想调用此对象时不仅需要有该对象的执行权限还要有其他引用到的相关对象的权限,极大的增加了运维复杂性。下面回顾整篇文章,整理出一下几点个人建议,以供大家参考:

不创建多个同名不同host的用户。

不要轻易更改用户的host。

更改用户host请用RENAME USER语句,直接更新mysql.user系统表中的host属性会使权限丢失。

更改用户host后,要注意此用户下的各个对象的DEFINER属性。

创建视图、存储过程等对象建议将SQL SECURITY定义为DEFINER。

数据库迁移时,要注意新环境存在相关对象定义的DEFINER用户。

总结:

本文从一个故障出发,详细记录了故障发生的原因及背后涉及的知识,其实像DEFINER属性这些细节类的东西很容易被忽视,只有遇到问题了我们才会去探究。希望本篇文章能让你学到新东西,特别是上面总结的几点建议都是笔者日常运维总结出的。原创不易,请大家多多支持!

8d9cc5009270b5c44ee6a69e00dbd5bd.png

黑猫奴一只
关注
bartender的安全策略不允许指定的用户执行此操作_操作系统安全规范之Windows Server...
weixin_39602891的博客
11-22 7607
1、重要安全策略1.1、密码复杂度修改方法:在“运行”中输入“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置帐户策略密码策略”。默认配置内容如下图:修改如下参数配置:“密码必须符合复杂性要求”,配置为“已启用”,要求复杂性。“密码长度最小值”,建议8或12。“强制密码历史”,配置5,最近5个密码不能使用。“密码最短存留期(使用期限)”,配置为...
bartender的安全策略不允许指定的用户执行此操作_更改用户host留下
weixin_39575054的博客
11-27 3374
前言:我们在创建数据库用户的时候都会指定host,即一个完整的用户可描述为 'username'@'host' 。创建用户时不显式指定host则默认为%,%代表所有ip段都可以使用这个用户,我们也可以指定host为某个ip或ip段,这样会仅允许在指定的ip主机使用该数据库用户。不过你也应该明白 'username'@'%' 和 'username'@'192.168.6.%' 是两个毫无关联的用户...
MySQL用户管理
最新发布
慕雪华年的博客
08-31 1487
本文首发于用户管理是mysql权限控制的重要一环。
Windows 服务器操作系统安全设置加固方法
weixin_34319640的博客
04-13 1039
1. 账户管理和认证授权1.1 账户默认账户安全禁用Guest账户。禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除。)操作步骤打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 > 用户 中,双击 Guest 帐户,在属性中选中 帐户已禁用,单击 确定。按照用户分配帐户按照用户分配帐户。根据业务要求,设定不...
bartender的安全策略不允许指定的用户执行此操作_组复制常规操作在线配置组 | 全方位认识 MySQL 8.0 Group Replication...
weixin_39517400的博客
11-25 1055
作者 罗小波 · 数据库技术专家出品 沃趣科技组复制处于运行状态时,可以使用一组依赖于组操作协调器的UDF自定义函数来对组做一些在线变更操作。这些UDF 由8.0.13或更高版本的MGR插件提供。本节描述如何使用这些UDF自定义函数来对组进行在线进行一些变更操作。注意:要使协调器能够在运行中的组中有效执行组范围内的配置变更操作,所有成员必须运行在MySQL 8.0.13或更高版本中,...
linux sudo漏洞 可导致用户以 root 权限运行命令
whatday的专栏
10-15 467
Linux用户要注意了!几乎所有基于UNIX和Linux的操作系统上安装的核心命令,也是最重要、最强大也最常用的工具Sudo中被曝存在一个漏洞。 Sudo 的全称是“superuserdo”,它是Linux系统管理指令,允许用户在不需要切换环境的前提下以其它用户的权限运行应用程序或命令,通常是以 root 用户身份运行命令,以减少 root 用户的登录和管理时间,同时提高安全性。...
mysql用户配置多个host_MySQL系列之D-1------MySQL多实例安装安装
weixin_42119358的博客
02-19 1054
注意:请根据自己的实际情况进行相应的更改D.1多实例结构D.2多实例安装D.2.1依赖包# yum install ncurses-devel -y# yum install libaio-devel -yD.2.2通过二进制方法安装mysql注意:参考“mysql二进制包安装”这一章节请查考MySQL系列之B------MySQL安装准备、MySQL系列之B------MySQL安装D.2.3建...
解决mysql出现大量TIME_WAIT
06-27
如果MySQL出现“Host 'IP' is blocked because of many connection errors”的错误提示,表明由于过多的连接错误,该IP地址已被MySQL服务器封锁。此时,可以通过执行`mysqladmin flush-hosts -h IP -u root -p`命令...
宝塔配置mysql host_阿里云安装宝塔以及mysql配置
weixin_39680678的博客
01-18 1206
系统:CentOS 7.6宝塔安装yum install -y wget && wget -O install.sh http://download.bt.cn/install/install_6.0.sh && sh install.sh安装完成后,会出现以下信息:Bt-Panel: 你的IP:8888/xxxxxxusername: 用户名password: 密...
mysql8.0参数优化_Mysql 8.0 参数调优
asdasde的博客
05-24 845
这配置已经优化的不错了,如果你的mysql没有什么特殊情况的话,可以直接使用该配置参数。硬件:内存16G(可根据各自的服务器内存大小自行调整)此配置是生产线上使用的配置,对各参数添加了中文说明。MYSQL服务器my.ini配置文档详解,
MySQL(十六)之MySQL用户管理
06-20
MySQL用户管理是数据库系统中的关键环节,它涉及到数据安全性和访问控制。在MySQL中,用户可以分为两类:超级管理员用户,通常是`root`,拥有所有权限;而普通用户由`root`创建,权限由`root`分配。 MySQL的权限...
bartender的安全策略不允许指定的用户执行此操作_Ray编程:给新用户的小指南
weixin_39859220的博客
11-24 933
AI Conference 北京站AI Conference 2019 北京站6月18-21日即将开幕!培训:大会推出「PyTorch 深度学习」两天培训课程,资深数据科学家主讲,限制人数,抢票从速!Ray是一个用于在计算集群上编程的通用框架。 Ray使开发人员能够轻松地并行化他们的Python应用程序,构建新的应用,在任意大小规模的集群上(从笔记本电脑到大型集群)运行。 Ray提供了一...
bartender的安全策略不允许指定的用户执行此操作_mysql操作手册
weixin_39951181的博客
11-22 1506
mysql导入文件,过大导致错误(2006 - MySQL server has gone away)出现这个问题的原因一般是传送的数据过大,解决的办法是修改通信缓冲区的最大长度。#查看通信缓冲区长度,默认为1Mshow global variables like 'max_allowed_packet';​#修改通信缓冲区最大长度set global max_allowed_packet=102...
bartender的安全策略不允许指定的用户执行此操作_一步一步学习DVWA渗透测试(CSP Bypass绕过内容安全策略)-第十二次课...
weixin_39596720的博客
11-25 780
小伙伴们,今天我们继续学习。Content-Security-Policy是指HTTP返回报文头中的标签,浏览器会根据标签中的内容,判断哪些资源可以加载或执行。翻译为中文就是绕过内容安全策略。是为了缓解潜在的跨站脚本问题(XSS),浏览器的扩展程序系统引入了内容安全策略这个概念。原来应对XSS攻击时,主要采用函数过滤、转义输入中的特殊字符、标签、文本来规避攻击。CSP的实质就是白名单制度,开发人员...
bartender的安全策略不允许指定的用户执行此操作_入门MySQL——用户与权限
weixin_39924329的博客
11-24 1322
前言:前面几篇文章为大家介绍了各种SQL语法的使用,本篇文章将主要介绍MySQL用户及权限相关知识,如果你不是DBA的话可能平时用的不多,但是了解下也是好处多多。1.创建用户官方推荐创建语法为:CREATE USER [IF NOT EXISTS] user [auth_option] [, user [auth_option]] ... [REQUIRE {NONE | tls_option [...
bartender的安全策略不允许指定的用户执行此操作_Windows系统安全|Windows本地安全策略...
weixin_39947501的博客
11-24 6118
目录本地安全策略密码策略账户策略审核策略用户权限分配安全选项本地安全策略安全策略是影响计算机安全性的安全设置的组合。可以利用本地安全策略来编辑本地计算机上的帐户系统安全策略包括下面的设置:配置帐户策略配置审核策略配置用户权限配置安全选项开始-->管理工具-->本地安全策略密码策略密码策略强制服务器上的用户帐户设置的密码满足安全要求。防止...
bartender的安全策略不允许指定的用户执行此操作_MongoDB用户和角色解释系列(上)...
weixin_39973196的博客
11-26 1066
1、介绍本文讨论保护MongoDB数据库所需的访问控制。具体来说,我们可以使用这些特性来确保只有经过授权的用户才能访问数据库。每个MongoDB用户应该只能访问他们在组织中所扮演的角色所需要的数据,这由组织中负责管理数据安全的人员来决定。这是管理数据和遵守国际要求所必需的良好特质。1.1 访问控制访问控制确保访问数据库的人员得到明确的标识,并且能够访问、更新或删除他们有权访问的数据。这是我们将在本...
bartender的安全策略不允许指定的用户执行此操作_数据库锁机制详解(处理大量数据并发操作)...
weixin_39652154的博客
11-26 982
锁述的概述一. 数据库中为什么要引入锁的概念呢?,它是基于以下几个应用场景而提出的:(1)多个用户同时对数据库的并发操作时会带来以下数据不一致的问题。(2)更新覆盖和丢失。如:A,B两个用户读同一数据并进行修改,其中一个用户修改结果破坏了另一个修改的结果,比如我们常见的订票系统。(3)脏读。A用户修改了数据,随后B用户又读出该数据,但A用户因为某些原因取消了对数据的修改,数据恢复原值,此时B得到...
bartender的安全策略不允许指定的用户执行此操作_Linux sudo 被曝提权漏洞,任意用户均能以 root 身份运行命令
weixin_39877166的博客
11-12 459
即便 /etc/sudoers 配置文件中明确表明不允许以 root 用户进行访问,但通过该漏洞,恶意用户或程序仍可在目标 Linux 系统上以 root 用户身份执行任意命令。 译自: https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html...
优化MySQL:解决TIME_WAIT问题与提高连接管理
3. **检查MySQL服务器日志**:如果MySQL显示“Host 'IP' is blocked because of many connection errors”,说明有IP地址因为多次连接错误被封锁。可以通过运行`mysqladmin flush-hosts -hIP -uroot -p`来解锁。 4....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值