一.基础操作
1.查看mysql版本
2.查看mysql初始密码
grep 'temporary password' /var/log/mysqld.log 或者 cat /var/log/mysqld.log | grep 'temporary password'
查看到以后便可以此密码(k&c,qt.,s4H=)进行登陆,登陆后可进行密码更改
alter user root@localhost identified by '123456'; 或则 set password for '用户名'@'IP地址'=Password('新密码');
3.忘记mysql密码
vim /etc/my.cnf ,加上skip-grant-tables,跳过权限验证登陆,不输入用户名密码即可登陆,保存退出,重启mysql
mysql>use mysql
mysql> UPDATE user SET authentication_string= Password('yourpwd') WHERE User = 'root'; //单引号内的字符即使需要设置的新密码
mysql>quit
删除/etc/my.cnf文件里面的“skip-grant-tables”。最后重启,输入新密码就可以了。
在第一次重启后,mysql数据库处于完全没有密码保护的状态,其他任何用户都不需要密码直接可以登录mysql数据库。需要保证没有其他用户在登录或者连接。
二.用户管理
1.创建用户
格式:create user "username"@"host" identified by "password";
例:
1.mysql->create user 'test'@'localhost' identified by '123';
2.mysql->create user 'test'@'192.168.7.22' identified by '123';
3.mysql->create user 'test'@'%' identified by '123';
host="localhost"为只有本机可以登陆,host="ip"为指定ip地址登录,host="%"为不限制IP登录
如果提示错误: ERROR 1819 (HY000): Your password does not satisfy the current policy requirements
解决办法:
1.1、查看 mysql 初始的密码策略
输入语句 SHOW VARIABLES LIKE 'validate_password%';
关于 mysql 密码策略相关参数;
1)、validate_password_check_user_name 验证用户名;
2)、validate_password_dictionary_file 指定密码验证的文件路径;
3)、validate_password_length 固定密码的总长度;
4)、validate_password_mixed_case_count 整个密码中至少要包含大/小写字母的总个数;
5)、validate_password_number_count 整个密码中至少要包含阿拉伯数字的个数;
6)、validate_password_policy 指定密码的强度验证等级,默认为 MEDIUM;
7)、validate_password_special_char_count 整个密码中至少要包含特殊字符的个数;
***关于 validate_password_policy 的取值:
0/LOW: 只验证长度;
1/MEDIUM: 验证长度、数字、大小写、特殊字符;
2/STRONG: 验证长度、数字、大小写、特殊字符、字典文件;
1.2、首先需要设置密码的验证强度等级,设置 validate_password_policy 的全局参数为 0/LOW 即可,
set global validate_password_policy=LOW; 或 set global validate_password_policy=0; 进行设置
1.3、密码长度通过 set global validate_password_length=整数; 进行设值,如: set global validate_password_length=6;
1.4、现在可以为 mysql设置简单密码了,只要满足六位的长度即可,
输入修改语句 ALTER USER 'root'@'localhost' IDENTIFIED BY '123456'; 可以看到修改成功,表示密码策略修改成功了!!!
注:在默认密码的长度最小值为 4 ,由 大/小写字母各一个 + 阿拉伯数字一个 + 特殊字符一个,
只要设置密码的长度小于 3 ,都将自动设值为 4 ,如果想要将长度设置为3,可以采用先设置为0后再设置为3
set global validate_password_length=1/2/3; validate_password_length=4
set global validate_password_length=0; validate_password_length=2
2.删除用户
drop user '用户名'@'IP地址';
3.修改用户
rename user '用户名'@'IP地址' to '新用户名'@'IP地址';
4.修改密码
set password for '用户名'@'IP地址'=Password('新密码');
alter user root@localhost identified by '123456';
UPDATE user SET authentication_string= Password('yourpwd') WHERE User = 'root';
mysqladmin -u用户名 -p旧密码 password 新密码
三.授权管理
1.查看用户权限:
权限存储在mysql库的user、db、tables_priv、columns_priv、procs_priv这几个系统表中,待MySQL实例启动后加载到内存中。
权限认证中的大小敏感
字段user,password,authencation_string,db,table_name大小写敏感
字段host,column_name,routine_name大小写不敏感
1.1查看所有用户 SELECT DISTINCT CONCAT('User: ''',user,'''@''',host,''';') FROM mysql.user;
1.2查看某个用户 show grants for '用户'@'IP地址'; 如: show grants for 'root'@''localhost;
1.3查看本地用户show grants;
2.授权:
GRANT 权限 ON 数据库名.表名 TO 用户名@'host' IDENTIFIED BY '数据库密码';
GRANT ON TO [IDENTIFIED BY ""] [WITH GRANT OPTION];
2.1 参数说明:GRANT ON TO [IDENTIFIED BY ""] [WITH GRANT OPTION];
2.1.1 privileges是一个用逗号分隔的你想要赋予的MySQL用户权限的列表。
数据库/数据表/数据列权限(Alter、Create、Delete....)
全局管理MySQL用户权限(file、PROCESS、reload、shutdown)
特别的权限(all、usage)
2.1.2 user表中host列的值的意义
%匹配所有主机
localhost localhost不会被解析成IP地址,直接通过UNIXsocket连接127.0.0.1 会通过TCP/IP协议连接,并且只能在本机访问;::1 ::1就是兼容支持ipv6的,表示同ipv4的127.0.0.1
2.1.3 WITH GRANT OPTION 权限传递
带with grant option,那么用户testuser1可以将select ,update权限传递给其他用户( 如testuser2),如:grant select,update on bd_corp to testuser2
不带with grant option,那么用户testuser1不能给testuser2授权
2.2 权限的生效
执行grant、revoke、set password、rename user命令修改权限后,MySQL会自动将修改后的权限信息同步加载到系统内存中;
如果执行insert、update、delete操作上述的系统权限表后,则必须在执行刷新命令(flush)才能同步到内存
如果是修改tables和colunms级别的权限,则客户端的下次操作时新权限会生效;
如果是修改database级别的权限,则新权限在客户端执行use database命令后生效
--skip-grant-tables可以跳过所有系统权限表而允许所有用户登录
2.3 GRANT命令说明:
priveleges(权限列表),可以是all priveleges, 表示所有权限,也可以是select、update等权限,多个权限的名词, 相互之间用逗号分开。
on用来指定权限针对哪些库和表。
*.* 中前面的*号用来指定数据库名,后面的*号用来指定表名(database.table)。
to 表示将权限赋予某个用户, 如 jack@'localhost' 表示jack用户,@后面接限制的主机,可以是IP、IP段、域名以及%,%表示任何地方。注意:这里%有的版本不包括本地,会出现给某个用户设置了%允许任何地方登录,但是在本地登录不了,这个和版本有关系,遇到这个问题再加一个localhost的用户就可以了。
identified by指定用户的登录密码,该项可以省略。
WITH GRANT OPTION 这个选项表示该用户可以将自己拥有的权限授权给别人。注意:经常有人在创建操作用户的时候不指定WITH GRANT OPTION选项导致后来该用户不能使用GRANT命令创建用户或者给其它用户授权。
备注:可以使用GRANT重复给用户添加权限,权限叠加,比如你先给用户添加一个select权限,然后又给用户添加一个insert权限,那么该用户就同时拥有了select和insert权限。
2.4 授权原则说明:
权限控制主要是出于安全因素,因此需要遵循一下几个经验原则:
只授予能满足需要的最小权限,防止用户干坏事。比如用户只是需要查询,那就只给select权限就可以了,不要给用户赋予update、insert或者delete权限。
创建用户的时候限制用户的登录主机,一般是限制成指定IP或者内网IP段。
初始化数据库的时候删除没有密码的用户。安装完数据库的时候会自动创建一些用户,这些用户默认没有密码。
为每个用户设置满足密码复杂度的密码。
定期清理不需要的用户。回收权限或者删除用户。
例:
grant create view on yisa_oe.* to yisa_cx@'%'; 创建视图权限
grant show view on yisa_oe.locationView to yisa_cx@'%'; 显示视图权限
grant select(table), update(table) on *.locationView to yisa_cx@'localhost'; 查询更新权限
grant all privileges on database.table to "user"@"%"; 为user赋予db.table的所有权限
revoke all on db.* from "user"@"%"; 取消来自远程服务器的user用户对数据库db的所有表的所有权限
revoke all privileges on "*" from "user"@"%"; 取消来自远程服务器的mjj用户所有数据库的所有的表的权限
flush privileges 设置权限后进行刷新
Mysql支持的权限
ALL或ALL PRIVILEGES 代表指定权限等级的所有权限。
ALTER 允许使用ALTER TABLE来改变表的结构,ALTER TABLE同时也需要CREATE和INSERT权限。重命名一个表需要对旧表具有ALTER和DROP权限,对新表具有CREATE和INSERT权限。
ALTER ROUTINE 允许改变和删除存储过程和函数
CREATE 允许创建新的数据库和表
CREATE ROUTINE 允许创建存储过程和包
CREATE TABLESPACE 允许创建、更改和删除表空间和日志文件组
CREATE TEMPORARY TABLES 允许创建临时表
CREATE USER 允许更改、创建、删除、重命名用户和收回所有权限
CREATE VIEW 允许创建视图
DELETE 允许从数据库的表中删除行
DROP 允许删除数据库、表和视图
EVENT 允许在事件调度里面创建、更改、删除和查看事件
EXECUETE 允许执行存储过程和包FILE 允许在服务器的主机上通过LOAD DATA INFILE、SELECT ...INTO OUTFILE和LOAD_FILE()函数读写文件
GRANT OPTION 允许向其他用户授予或移除权限
INDEX 允许创建和删除索引
INSERT 允许向数据库的表中插入行
LOCK TABLE 允许执行LOCK TABLES语句来锁定表
PROCESS 允许显示在服务器上执行的线程信息,即被会话所执行的语句信息。这个权限允许你执行SHOW PROCESSLIST和mysqladmin processlist命令来查看线程,同时这个权限也允许你执行SHOW ENGINE命令
PROXY 允许用户冒充成为另外一个用户
REFERENCES 允许创建外键
RELOAD 允许使用FLUSH语句
REPLICATION CLIENT 允许执行SHOW MASTER STATUS,SHOW SLAVE STATUS和SHOW BINARY LOGS命令
REPLICATION SLAVE 允许SLAVE服务器连接到当前服务器来作为他们的主服务器
SELECT 允许从数据库中查询表
SHOW DATABASES 允许账户执行SHOW DATABASE语句来查看数据库。没有这个权限的账户只能看到他们具有权限的数据库。
SHOW VIEW 允许执行SHOW CREATE VIEW语句
SHUTDOWN 允许执行SHUTDOWN语句和mysqladmin shutdown已经mysql_shutdown() C API函数
SUPER 允许用户执行CHANGE MASTER TO,KILL或mysqladmin kill命令来杀掉其他用户的线程,允许执行PURGE BINARY LOGS命令,通过SET GLOBAL来设置系统参数,执行mysqladmin debug命令,开启和关闭日志,即使read_only参数开启也可以执行update语句,打开和关闭从服务器上面的复制,允许在连接数达到max_connections的情况下连接到服务器。
TRIGGER 允许操作触发器
UPDATE 允许更新数据库中的表
USAGE 代表没有任何权限,只能登陆
user表: 存放用户账户信息以及全局级别(所有数据库)权限,决定了来自哪些主机的哪些用户可以访问数据库实例,
如果有全局权限则意味着对所有数据库都有此权限;
db表: 存放数据库级别的权限,决定了来自哪些主机的哪些用户可以访问此数据库;
tables_priv表: 存放表级别的权限,决定了来自哪些主机的哪些用户可以访问此数据库的这个表;
columns_priv表: 存放列级别的权限,决定了来自哪些主机的哪些用户可以访问此数据库的这个表的这个字段;
procs_priv表: 存放存储过程和函数级别的权限。
MySQL 赋予用户权限命令的简单格式可概括为:
grant 权限 on 数据库对象 to 用户
一、grant 普通数据用户,查询、插入、更新、删除 数据库中所有表数据的权利。
grant select on testdb.* to common_user@'%'
grant insert on testdb.* to common_user@'%'
grant update on testdb.* to common_user@'%'
grant delete on testdb.* to common_user@'%'
或者,用一条 MySQL 命令来替代:
grant select, insert, update, delete on testdb.* to common_user@'%'
二、grant 数据库开发人员,创建表、索引、视图、存储过程、函数。。。等权限。
grant 创建、修改、删除 MySQL 数据表结构权限。
grant create on testdb.* to developer@'192.168.0.%';
grant alter on testdb.* to developer@'192.168.0.%';
grant drop on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 外键权限。
grant references on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 临时表权限。
grant create temporary tables on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 索引权限。
grant index on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 视图、查看视图源代码 权限。
grant create view on testdb.* to developer@'192.168.0.%';
grant show view on testdb.* to developer@'192.168.0.%';
grant 操作 MySQL 存储过程、函数 权限。
grant create routine on testdb.* to developer@'192.168.0.%'; -- now, can show procedure status
grant alter routine on testdb.* to developer@'192.168.0.%'; -- now, you can drop a procedure
grant execute on testdb.* to developer@'192.168.0.%';
三、grant 普通 DBA 管理某个 MySQL 数据库的权限。
grant all privileges on testdb to dba@'localhost'
其中,关键字 “privileges” 可以省略。
四、grant 高级 DBA 管理 MySQL 中所有数据库的权限。
grant all on *.* to dba@'localhost'
五、MySQL grant 权限,分别可以作用在多个层次上。
1. grant 作用在整个 MySQL 服务器上:
grant select on *.* to dba@localhost; -- dba 可以查询 MySQL 中所有数据库中的表。
grant all on *.* to dba@localhost; -- dba 可以管理 MySQL 中的所有数据库
2. grant 作用在单个数据库上:
grant select on testdb.* to dba@localhost; -- dba 可以查询 testdb 中的表。
3. grant 作用在单个数据表上:
grant select, insert, update, delete on testdb.orders to dba@localhost;
这里在给一个用户授权多张表时,可以多次执行以上语句。例如:
grant select(user_id,username) on smp.users to mo_user@'%' identified by '123345';
grant select on smp.mo_sms to mo_user@'%' identified by '123345';
4. grant 作用在表中的列上:
grant select(id, se, rank) on testdb.apache_log to dba@localhost;
5. grant 作用在存储过程、函数上:
grant execute on procedure testdb.pr_add to 'dba'@'localhost'
grant execute on function testdb.fn_add to 'dba'@'localhost'
六、查看 MySQL 用户权限
查看当前用户(自己)权限:
show grants;
查看其他 MySQL 用户权限:
show grants for dba@localhost;
七、撤销已经赋予给 MySQL 用户权限的权限。
revoke 跟 grant 的语法差不多,只需要把关键字 “to” 换成 “from” 即可:
grant all on *.* to dba@localhost;
revoke all on *.* from dba@localhost;
八、MySQL grant、revoke 用户权限注意事项
1. grant, revoke 用户权限后,该用户只有重新连接 MySQL 数据库,权限才能生效。
2. 如果想让授权的用户,也可以将这些权限 grant 给其他用户,需要选项 “grant option“
grant select on testdb.* to dba@localhost with grant option;
这个特性一般用不到。实际中,数据库权限最好由 DBA 来统一管理。
*************************************************************************************************
遇到 SELECT command denied to user '用户名'@'主机名' for table '表名' 这种错误,解决方法是需要把吧后面的表名授权,即是要你授权核心数据库也要。
我遇到的是SELECT command denied to user 'my'@'%' for table 'proc',是调用存储过程的时候出现,原以为只要把指定的数据库授权就行了,什么存储过程、函数等都不用再管了,谁知道也要把数据库mysql的proc表授权
*************************************************************************************************
mysql授权表共有5个表:user、db、host、tables_priv和columns_priv。
授权表的内容有如下用途:
user表
user表列出可以连接服务器的用户及其口令,并且它指定他们有哪种全局(超级用户)权限。在user表启用的任何权限均是全局权限,并适用于所有数据库。例如,如果你启用了DELETE权限,在这里列出的用户可以从任何表中删除记录,所以在你这样做之前要认真考虑。
db表
db表列出数据库,而用户有权限访问它们。在这里指定的权限适用于一个数据库中的所有表。
host表
host表与db表结合使用在一个较好层次上控制特定主机对数据库的访问权限,这可能比单独使用db好些。这个表不受GRANT和REVOKE语句的影响,所以,你可能发觉你根本不是用它。
tables_priv表
tables_priv表指定表级权限,在这里指定的一个权限适用于一个表的所有列。
columns_priv表
columns_priv表指定列级权限。这里指定的权限适用于一个表的特定列。