MySQL8认证插件——No-Login Pluggable Authentication

最新推荐文章于 2023-07-20 10:56:37 发布
最新推荐文章于 2023-07-20 10:56:37 发布
阅读量191 收藏
点赞数 1
分类专栏: MySQL 数据库 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44496870/article/details/131576357
版权
mysql_no_login插件用于阻止直接登录,常用于执行有权限要求的存储程序和视图,以及作为代理账户。安装该插件涉及添加到服务器插件目录和配置文件,或在运行时使用INSTALLPLUGIN命令。卸载则可通过服务器重启或UNINSTALLPLUGIN命令。此插件确保账户只能通过DEFINER或代理账户访问,增强了安全性。
摘要由CSDN通过智能技术生成

mysql_no_login服务器端身份验证插件阻止所有客户端连接到任何使用它的账户。此插件的用例包括:

● 必须能够以提升的权限执行存储的程序和视图,而不会将这些权限暴露给普通用户的账户。

● 不应允许直接登录但只能通过代理账户访问的代理账户。

插件和库名称

插件或文件

插件或文件名称

Server-side plugin

mysql_no_login

Client-side plugin

None

Library file

mysql_no_login.so

安装无登录插件身份验证

要供服务器使用,插件库文件必须位于MySQL插件目录(由 plugin_dir 系统变量命名的目录)中。如有必要,通过在服务器启动时设置 plugin_dir 的值来配置插件目录位置。

插件库文件的基本名称是mysql_no_login。文件名后缀因平台而异(例如,对于Unix和类Unix系统为.so,对于Windows为.dll)。

要在服务器启动时加载插件,请使用 --plugin-load-add 选项命名包含该插件的库文件。使用此插件加载方法,每次服务器启动时都必须给定该选项。例如,将这些行放在服务器my.cnf文件中,根据需要调整平台的.so后缀:

[mysqld]
plugin-load-add=mysql_no_login.so

修改my.cnf后,重新启动服务器以使新设置生效。

或者,要在运行时加载插件,请使用以下语句,根据需要调整平台的.so后缀:

INSTALL PLUGIN mysql_no_login SONAME 'mysql_no_login.so';

INSTALL PLUGIN立即加载插件,并将其注册在mysql.plugins系统表中,以使服务器在每次后续正常启动时加载它,而不需要 --plugin-load-add

要验证插件安装,请检查Information Schema PLUGINS表或使用SHOW PLUGINS语句。例如:

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE '%login%';
+----------------+---------------+
| PLUGIN_NAME | PLUGIN_STATUS |
+----------------+---------------+
| mysql_no_login | ACTIVE |
+----------------+---------------+

如果插件无法初始化,请查看服务器错误日志中的诊断消息。

卸载无登录可插拔身份验证

用于卸载无登录身份验证插件的方法取决于您的安装方式:

如果您在服务器启动时使用 --plugin-load-add 选项安装了插件,请在不使用该选项的情况下重新启动服务器。

如果您在运行时使用 INSTALL PLUGIN 语句安装插件,那么它将在服务器重新启动时保持安装状态。要卸载它,请使用 UNINSTALL PLUGIN

UNINSTALL PLUGIN mysql_no_login;

使用无登录可插拔身份验证

使用 mysql_no_login 进行身份验证的账户可以用作存储程序和视图对象的 DEFINER。如果这样的对象定义还包括 SQL SECURITY DEFINER,那么它将使用该账户的权限执行。DBA可以使用这种行为来提供对机密或敏感数据的访问,这些数据只能通过控制良好的接口公开。

以下示例说明了这些原则。它定义了一个不允许客户端连接的账户,并将一个只公开 mysql.user 系统表的某些列的视图与之关联:

CREATE DATABASE nologindb;
CREATE USER 'nologin'@'localhost' IDENTIFIED WITH mysql_no_login;
GRANT ALL ON nologindb.* TO 'nologin'@'localhost';
GRANT SELECT ON mysql.user TO 'nologin'@'localhost';
CREATE DEFINER = 'nologin'@'localhost'
SQL SECURITY DEFINER
VIEW nologindb.myview
AS SELECT User, Host FROM mysql.user;

要向普通用户提供对视图的受保护访问,请执行以下操作:

GRANT SELECT ON nologindb.myview TO 'ordinaryuser'@'localhost';

现在,普通用户可以使用该视图访问它所显示的有限信息:

SELECT * FROM nologindb.myview;

用户试图访问视图公开的列以外的列会导致错误,未被授予访问权限的用户试图从视图中进行选择也会导致错误。

说明: 因为nologin账户不能直接使用,所以设置它使用的对象所需的操作必须由root或类似账户执行,该账户具有创建对象和设置DEFINER值所需的权限。

mysql_no_login插件在代理场景中也很有用。使用mysql_no_login进行身份验证的账户可以用作代理账户的代理用户:

-- create proxied account
CREATE USER 'proxied_user'@'localhost' IDENTIFIED WITH mysql_no_login;
-- grant privileges to proxied account
GRANT ... ON ... TO 'proxied_user'@'localhost';
-- permit proxy_user to be a proxy account for proxied account
GRANT PROXY ON 'proxied_user'@'localhost' TO 'proxy_user'@'localhost';

这使得客户端可以通过代理账户(proxy_user)访问MySQL,但不能通过直接作为被代理用户(proxied_user)连接来绕过代理机制。使用 proxy_user 账户进行连接的客户端具有 proxied_user 账户的权限,但 proxied_user 本身不能用于连接

贺浦力特
关注
专栏目录
【grafana 】mac端grafana配置的文件 grafana.ini 及login
突围
08-04 275
grafana.ini
Linux之安全最佳做法(未完成)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-12 2283
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
nologin命令 限制用户登录
01-09
使用nologin命令可以限制某些用户通过Shell登录系统。如果/etc/nologin.txt存在,显示其内容给用户,而不是默认消息。 语法格式:nologin 参考实例 限制用户登录: [root@linuxcool ~]# nologin 与该功能相关的Linux命令:readonly命令 – 标记shell变量或函数为只读vipw命令 – 编辑某些配置文件dpkg-split命令 – 分割软件包resize命令 – 设置终端机视窗的大小source命令 – 在当前Shell环境中从指定文件读取和执行命令hping3命令 – 测试网络及主机的安全readelf命令 – 显示elf格式文
MySQL 8 安装mysql_no_login插件
engchina的专栏
04-05 574
输入以下命令安装mysql_no_login插件。 INSTALL PLUGIN mysql_no_login SONAME 'mysql_no_login.dll'; 输入以下命令停止某用户登录。 ALTER USER username@hostname IDENTIFIED WITH mysql_no_login;
useradd -M -s /sbin/nologin mysql -g mysql 报错 Creating mailbox file
Yijia0531的博客
06-17 1991
由于之前使用以下命令删除了mysql账户 userdel mysql groupdel mysql #如果删除了mysql用户,对应的组也会被删除(只有一个用户的情况下) 执行以下命令时报错 useradd -M -s /sbin/nologin mysql -g mysql 原来linux下添加用户后,会在系统里自动加一个邮箱(系统邮箱),路径是:/var/s...
Mysql密码策略
背锅浩的博客
08-16 8530
由于近期负责项目等报二级,涉及到“建议数据库设置密码复杂度和定期更换用户口令”这一项,在这里分享一下官方文档。 1.密码验证插件安装 要使服务器可以使用,插件库文件必须位于MySQL插件目录(plugin_dir系统变量指定的目录)中。如有必要,请设置plugin_dir服务器启动时的值, 以告知服务器插件目录位置。 插件库文件基本名称是 validate_password。文件名后缀因平台...
Mysql数据库管理-plugin安装与配置总结
最新发布
oradbm的博客
07-20 1619
包括CONNECTION_CONTROL 和 CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS两个插件;该插件使管理员能设置当连续连接失败超过指定次数后,服务端根据配置值增加对连接的相应延迟。使用该插件能缓解MySQL用户的暴力破解;该插件默认未启用需要进行安装首先确认MySQL插件目录,plugin library文件需位于该路径下。在linux系统下plugin library文件名为connection_control.so 为了在MySQL进程启动时加载插件,需要使用
Java-SpringBoot:用户认证Authentication)和用户授权(Authorization)
embelfe_segge的博客
05-14 7258
Java-SpringBoot-2 学习视频:B站 狂神说Java – https://www.bilibili.com/video/BV1PE411i7CV 学习文档: 微信公众号 狂神说 –https://mp.weixin.qq.com/mp/homepage?__biz=Mzg2NTAzMTExNg==&hid=1&sn=3247dca1433a891523d9e4176c90c499&scene=18&uin=&key=&devicetype=Win
pam_mysql-0.7RC1.tar.gz
10-24
PAM(Pluggable Authentication Modules)是Linux和Unix系统中广泛使用的模块化认证框架,而MySQL则是全球最流行的开源数据库系统之一。当我们谈论“pam_mysql-0.7RC1.tar.gz”时,我们实际上是在讨论一个允许PAM与...
学习运维——配置电子邮件传输
xayddxjsjxywuhui的博客
03-13 1万+
配置电子邮件传输: 一、搭建前的准备工作 1.两台主机(虚拟机也可) 我用的是两台虚拟机 2.两台主机的ip在一个网段内 我的两个虚拟机的ip分别是: 172.25.254.190 172.25.254.191 3.修改主机名 [root@mailwestos ~]# hostnamectl set-hostname mailwestos.westos.com
Day465.触发器&MySQL8其它新特性 -mysql
阿昌爱Java
11-30 1367
触发器 在实际开发中,我们经常会遇到这样的情况:有 2 个或者多个相互关联的表,如商品信息和库存信息分别存放在 2 个不同的数据表中,我们在添加一条新商品记录的时候,为了保证数据的完整性,必须同时在库存表中添加一条库存记录。 这样一来,我们就必须把这两个关联的操作步骤写到程序里面,而且要用事务包裹起来,确保这两个操作成为一个原子操作,要么全部执行,要么全部不执行。要是遇到特殊情况,可能还需要对数据进行手动维护,这样就很容易忘记其中的一步,导致数据缺失。 这个时候,咱们可以使用触发器。**你可以创建一个触发
linux安装mysql
mysql教程
06-24 232
1.mysql下载 ①进入mysql官方网站:https://www.mysql.com/ 点击进入DOWNLOADS下载页面 ②进入下载页面后,找到mysql社区版本MySQL Community (GPL) Downloads点击进入 ③进入社区版页面后,进行如下点击 ④进入后,点击mysql版本归档页面 ⑤进入mysql版本归档页面后选择你所需要的mysql版本、操作系统及系统版本,然后点击download即可下载 2.mysql安装规范   MySQL安装方式.
MySQL基础】4- MySQL配置文件 my.cnf
奥斯卡带你飞
08-01 709
引言 在windows系统上安装MySQL,其配置文件:my.ini; 而在Linux操作系统上的MySQL,它的配置文件为:my.cnf,一般它的路径为/etc/my.cnf 或者/etc/mysql/my.cnf ; 配置文件 文件内容如下: [client] port = 3306 socket = /tmp/mysql.sock default-character-set = utf8mb4 [mysqldump] quick max_allowed_packet = 16M [mysqld]
技术分享 | MySQL 8.0 代理用户使用
ActionTech的博客
10-28 708
作者:杨涛涛 资深数据库专家,专研 MySQL 十余年。擅长 MySQL、PostgreSQL、MongoDB 等开源数据库相关的备份恢复、SQL 调优、监控运维、高可用架构设计等。目前任职于爱可生,为各大运营商及银行金融企业提供 MySQL 相关技术支持、MySQL 相关课程培训等工作。 本文来源:原创投稿 *爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。 背景 某天有人问了我一个有关 MySQL PROXY 用户该如何使用的问题。 原问题是这样的:MySQL 版本从 .
mysql一直拒绝登录_mysql登陆被拒绝 密码是正确的
weixin_35811254的博客
12-30 1330
你要是在linux下装的mysql,开始select * from usr;这个表里面应该是空的,需要你添加一个用户,一下是我以前自己装mysql的时候的步骤,你看看添加用户那一块,添加一个用户 应该就可以的一.安装MYSQL 1)useradd -M -s /sbin/nologin mysql创建运行mysql数据库的系统用户、组2)tar zxvf mysql-5.0.56...
Linux下新增用户设置密码设置nologin等操作
热门推荐
gocuber的博客
05-23 2万+
Linux下新增用户设置密码设置nologin等操作 查看用户 cat /etc/passwd 查看用户组 cat /etc/group 新建用户组 /usr/sbin/groupadd www 新建用户 指定用户组 /usr/sbin/useradd -g www www 新建用户 指定用户组 /usr/sbin/useradd -g mysql mysq...
MongoDB之权限管理
qq_36816062的博客
09-14 267
MongoDB之权限管理         在实现权限管理之前,需要开启数据库的登录验证,在MongoDB的mongo.config文件中开启登录验证,如下: dbpath=C:\Program Files\MongoDB\Server\3.6\data\db logpath=C:\Program Files\MongoDB\Server\3.6\data\log\MongoDB.log #开启登录验证 auth=true 1.
mysql 新增 删除用户和权限分配
bonlog的专栏
07-01 6160
http://lionbule.iteye.com/blog/1114072 请一定安此步骤来创建新的用户。 1. 新增用户 Sql代码   mysql>insert into mysql.user(Host,User,Password) values("localhost","lionbule",password("hello1234"));   mysql
/bin/false 和 /usr/sbin/nologin 拒绝用户登录及其功能分析
挖坑埋你
05-23 1万+
/usr/sbin/nologin,/bin/false的意思是禁止某个用户登录 比较常用的用法: #添加一个不能登录的用户 useradd -d /usr/local/apache -g apache -s /bin/false apache 要拒绝系统用户登录,可以将其shell设置为/usr/sbin/nologin或者/bin/false usermod -s | --shel...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

贺浦力特

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值