MySQL安全管理

　　MySQL 服务器通过权限表来控制用户对数据库的访问，由 mysql_install_db 脚本初始化，MySQL 会根据这些权限表的内容为每个用户赋予相应的权限1. user 表
　　user 表示 MySQL 最重要的是一个权限表，有 49 个字段，这些字段可以分成四类：范围列：包括 Host、User，分别表示主机名、用户名，Host 指明允许访问的 IP 或主机范围，User 指明允许访问的用户名权限列：权限列字段描述用户在全局范围内允许进行的操作，权限列的字段值类型为 ENUM，只能取 Y 和 N安全列：安全列有 12 个字段，其中两个和 ssl 相关、两个和 x509 相关、其他八个是授权插件和密码相关资源控制列：用于限制用户使用的资源，一个小时内用户查询或连接数量超过资源控制限制将被锁定，直到下一个小时才可以再次执行2. db 表
　　db 表明存储用户对某个数据库的操作权限，决定用户能从哪个主机存取哪个数据库，大致可以分为两类字段：用户列：用户列有三个字段，分别是 Host、Db 和 User，分别表示主机名、数据库名和用户名权限列：决定用户是否具有创建和修改存储过程的权限3. tables_priv 表
　　tables_priv 表用来对表设置操作权限，有八个字段：Host、Db、User 和 Table_name 四个字段分别表示主机名、数据库名、用户名和表名Grantor 表示修改记录的用户Timestamp 表示要修改该记录的时间Table_priv 表示对象操作权限。包括 Select、Insert、Delete 等Column_priv 表示对表中的列的操作权限，包括 Select、Insert、Update 和 References4. columns_priv 表
　　columns_priv 表用来对表的某一列设置权限，字段 Column_name 用来指定对哪些数据列具有操作权限
　　2|0账户管理1. 新建普通用户
　　在 MySQL8 以前可以使用 GRANT 语句新建用户，MySQL8 以后需要先创建用户才能执行 GRANT 语句CREATE USER user[IDENTIFIED BY ＂password＂][,user[IDENTIFIED BY ＂password＂]]...
　　user 参数表示新建用户的账户，由用户（User）和主机名（Host）构成，形式如 Justin@localhost，IDENTIFIED BY 关键字用来设置用户的密码，password 参数表示用户密码，可以同时创建多个用户，新用户可以没有初始密码2. 删除普通用户DROP USER user[,user]...
　　user 参数表示新建用户的账户，由用户（User）和主机名（Host）构成，可以同时删除多个用户
　　也可以使用 DELETE 语句直接将用户信息从 mysql.user 表删除，前提是拥有对 mysql.user 表的删除权限DELETE FROM mysql.user WHERE Host=＂hostname＂ AND User=＂username＂; 3. Root 用户修改自己的密码
　　root 用户可以使用 ALTER 命令修改密码ALTER USER USER() IDENTIFIED BY ＂new_password＂
　　也可以使用 SET 语句修改密码SET PASSWORD=＂new_password＂ 4. Root 用户修改普通用户的密码
　　root 用户可以使用 ALTER 命令修改普通用户的密码ALTER USER user [IDENTIFIED BY ＂new_password＂][,user [IDENTIFIED BY ＂new_password＂]]...
　　也可以使用 SET 语句修改普通用户的密码SET PASSWORD FOR ＂username＂@＂hostname＂=＂new_password＂
　　普通用户也可对自己的密码进行管理，方式与 Root 用户相同
　　3|0密码管理1. 密码过期策略
　　数据库管理员可以手动设置账号密码过期，也可以建立一个自动密码过期策略。过期策略可以是全局的，也可以为每个账号设置单独的过期策略
　　手动设置账号密码过期：ALTER USER user PASSWORD EXPIRE
　　密码过期策略基于最后修改密码的时间自动将密码设置为过期，MySQL 使用 default_password_lifetime 系统变量建立全局密码过期策略，默认值为 0 表示不使用自动过期策略。它允许的值是正整数 N，表示密码必须每隔 N 天进行修改。该值可在服务器的配置文件设置，也可以使用 SQL 语句设置，使用 SQL 语句方式如下：SET PERSIST default_password_lifetime=180
　　每个账号既可沿用全局密码过期策略，也可单独设置策略# 设置账号密码90天过期 CREATE USER ＂Justin@localhost＂ PASSWORD EXPIRE INTERVAL 90 DAY; ALTER USER ＂Justin@localhost＂ PASSWORD EXPIRE INTERVAL 90 DAY; # 设置账号密码永不过期 CREATE USER ＂Justin@localhost＂ PASSWORD EXPIRE NEVER; ALTER USER ＂Justin@localhost＂ PASSWORD EXPIRE NEVER; # 沿用全局密码过期策略 CREATE USER ＂Justin@localhost＂ PASSWORD EXPIRE DEFAULT; 2. 密码重用策略
　　MySQL 限制使用已用过的密码，重用限制策略基于密码更改时间和使用时间，可以是全局的，也可以为每个账号设置单独的策略
　　MySQL 基于以下规则来限制密码重用：如果账户密码限制基于密码更改的数量，那么新密码不能从最近限制的密码数量中选择，例如，如果密码更改的最小值为3，那么新密码不能与最近3个密码中任何一个相同如果账户密码限制基于时间，那么新密码不能从规定时间内选择，例如，如果重用周期为60天，那么新密码不能从最近60天内使用的密码中选择
　　可以在配置文件设置密码重用策略，也可以使用 SQL 语句# 密码重用数量 SET PERSIST password_history=6; # 密码重用周期 SET PERSIST password_reuse_interval=365;
　　每个账号既可沿用全局密码重用策略，也可单独设置策略# 不能使用最近5个密码 CREATE USER ＂Justin@localhost＂ PASSWORD PASSWORD HISTORY 5; ALTER USER ＂Justin@localhost＂ PASSWORD PASSWORD HISTORY 5; # 不能使用最近365天内的密码 CREATE USER ＂Justin@localhost＂ PASSWORD REUSE INTERVAL 365 DAY; ALTER USER ＂Justin@localhost＂ PASSWORD REUSE INTERVAL 365 DAY;
　　4|0角色
　　在 MySQL 中，角色是权限的集合，可以为角色添加或移除权限。用户可以被赋予角色，同时也被赋予角色包含的权限1. 创建角色并授权
　　创建角色语句如下：CREATE ROLE ＂role_name＂[@＂host_name＂][,＂role_name＂[@＂host_name＂]]...
　　为角色授权语句如下：GRANT privileges ON table_name TO ＂role_name＂[@＂host_name＂];
　　privileges 代表权限的名称，多个权限以逗号1隔开，可以使用 SHOW 语句查询权限名称SHOW PRIVILEGESG; 2. 给用户添加角色GTANT role[,role2,...] TO user[,user2,...];
　　role 代表角色，user 代表用户，添加之后如果角色处于未激活状态，需要先将用户对应的角色激活SET ROLE DEFAULT 3. 编辑角色或权限
　　撤销用户角色的 SQL 语句如下：REVOKE role FROM user;
　　撤销角色权限的 SQL 语句如下：REVOKE privileges ON tablename FROM ＂rolename＂; 4. 删除角色DROP ROLE role[,role2]...
　　如果本文对你有帮助，别忘记给我个3连 ，点赞，转发，评论，，咱们下期见。
　　收藏 等于白嫖，点赞才是真情。