MySQL學習筆記(24):許可權與安全

来源:https://www.cnblogs.com/garvenc/archive/2020/07/23/mysql_learning_24_privilege_and_safety.html
-Advertisement-
Play Games

本文更新於2020-05-03,使用MySQL 5.7,操作系統為Deepin 15.4。 許可權 許可權存取需要用到mysql庫中user、db、host、tables_priv、columns_prvi這幾個許可權表。列分為4個部分:用戶列、許可權列、安全列、資源控制列。許可權列又分為普通許可權和管理許可權。 ...


本文更新於2020-05-03,使用MySQL 5.7,操作系統為Deepin 15.4。

許可權

許可權存取需要用到mysql庫中user、db、host、tables_priv、columns_prvi這幾個許可權表。列分為4個部分:用戶列、許可權列、安全列、資源控制列。許可權列又分為普通許可權和管理許可權。

表名 user db host 說明
用戶列 host host host
用戶列 user db db
用戶列 password user
許可權列 select_priv select_priv select_priv 查詢記錄
許可權列 insert_priv insert_priv insert_priv 插入記錄
許可權列 update_priv insert_priv insert_priv 更新記錄
許可權列 delete_priv delete_priv delete_priv 刪除記錄
許可權列 index_priv index_priv index_priv 維護索引
許可權列 alter_priv alter_priv alter_priv 修改資料庫或表
許可權列 create_priv create_priv create_priv 創建資料庫或表
許可權列 drop_priv drop_priv drop_priv 刪除資料庫或表
許可權列 grant_priv grant_priv grant_priv 授予許可權
許可權列 create_view_priv create_view_priv create_view_priv 創建視圖
許可權列 show_view_priv show_view_priv show_view_priv 展示視圖
許可權列 create_routine_priv create_routine_priv 創建存儲過程或函數
許可權列 alter_routine_priv alter_routine_priv 修改存儲過程或函數
許可權列 references_priv references_priv references_priv ?
許可權列 reload_priv 重新載入MySQL
許可權列 shutdown_priv 關閉MySQL
許可權列 process_priv 查看所有線程
許可權列 file_priv 導出導入文件
許可權列 show_db_priv 展示所有庫
許可權列 super_priv 超級許可權
許可權列 create_tmp_table_priv create_tmp_table_priv create_tmp_table_priv 創建臨時表
許可權列 lock_tables_priv lock_tables_priv lock_tables_priv 鎖表
許可權列 execute_priv 執行存儲過程或函數
許可權列 repl_slave_priv 與複製有關
許可權列 repl_client_priv 與複製有關
安全列 ssl_type
安全列 ssl_cipher
安全列 x509_issuer
安全列 x509_subject
資源控制列 max_questions
資源控制列 max_updates
資源控制列 max_connections
資源控制列 max_user_connections

許可權的存取有以下兩個階段:

  1. 先從user表的host、user和password欄位判斷是否通過身份驗證。
  2. 按照以下許可權表的順序查看是否取得許可權:user->db->tables_priv->columns_priv,如果有許可權表相應的值為Y,則取得該許可權。在這幾個許可權表中,許可權範圍依次遞減,全局許可權覆蓋局部許可權。

安全

操作系統相關的安全問題

  • 嚴格控制操作系統賬號(通常為mysql)和許可權。
  • 儘量避免以root(通常使用mysql)許可權運行MySQL。
  • 防止DNS欺騙:創建賬號時host可指定功能變數名稱,但若功能變數名稱對應的IP地址被惡意修改,則資料庫就會被惡意的IP地址訪問。

資料庫相關的安全問題

  • 刪除匿名賬號。
  • 給root賬號設置密碼。
  • 設置安全密碼。使用密碼有以下幾種方式,也需註意安全問題:直接將密碼寫在命令行中;互動式輸入密碼;將賬號和密碼寫在配置文件中,如寫在/etc/my.cnf的client組中。
  • 只授予賬號必需的許可權。
  • 除root外,任何賬號不應有mysql庫user表的存取許可權。
  • 不要把FILEPROCESSSUPER許可權授予管理員以外的賬號。
  • 註意LOAD DATA LOCAL從客戶端本地讀取文件帶來的安全問題。
  • 使用MERGE存儲引擎潛藏的安全漏洞:通過MERGE表還可以訪問已被回收許可權的子表。
  • DROP TABLE並不回收相關許可權,導致重新創建同名錶時,此前其他用戶對此表的許可權會自動賦予。
  • 使用SSL。
  • 如果可能,給所有用戶加上訪問host限制。
  • REVOKE的漏洞:在一個資料庫上多次賦予許可權,許可權會自動合併;但是在多個資料庫上多次賦予許可權,每個資料庫上都會認為是單獨的一組許可權,必須在此資料庫上用REVOKE單獨進行許可權回收,而REVOKE ALL ON *.*並不會自動完成這個過程。

資料庫安全設置選項

  • --old-passwords:該參數只是為了支持4.1版本前的客戶端,這將使得新建或修改的密碼全部變成舊格式,降低了系統安全性。
  • --safe-user-create:使用戶不能用GRANT創建新賬號,除非用戶有mysql.user表的INSERT許可權。
  • --secure-auth:使4.1版本前的客戶端無法進行用戶認證,即使使用了--old-passwords也不行。
  • --skip-grant-tables:令伺服器不使用許可權系統。
  • --skip-networking:不允許TCP/IP連接,所有連接必須經命名管道(Named Pipes)、共用記憶體(Shared Memory)、UNIX套接字(Socket)文件進行。
  • --skip-show-database:使用該選項,只有賦予SHOW DATABASES許可權的用戶才能執行且顯示所有庫名;不使用該選項,則所有用戶都能執行,但只顯示有許可權的庫名。

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 在Ubuntu上安裝QQ、微信、TIM等軟體一直是一個老大難的問題,網上搜集到的博客也比較零散,本篇博客較詳細地記錄了Wine系列軟體的安裝以及托盤圖標功能的安裝過程,同時記錄了幾種常見的問題 ...
  • 在vmware虛擬機環境下: 實驗環境: 1,CentOS7伺服器,ip地址192.168.118.10/24 2,win7客戶端,ip地址192.168.118.100/24 一,搭建伺服器 1,配置本地yum源 [[email protected] ~]# cd /etc/yum.repos.d [r ...
  • session複製集群的原理就是通過多播通信的方式,把節點的session信息發送給集群其他節點;這種session複製集群有一個缺陷,如果後端tomcat server 一旦增多,那麼對於後端用於發送session信息的網路會非常擁擠,到達一定的量以後,後端網路就可能癱瘓,這樣一來session... ...
  • 安裝自動補齊需要依賴工具 yum install -y bash-completion docker命令補齊: 執行下列命令 sh /usr/share/bash-completion/bash_completion sh /usr/share/bash-completion/completions ...
  • 我對ubuntu的紫色不太喜歡,我比較喜歡黑色;雖然20.04版本換成了黑色,登錄界面也很好看;但是我用的是舊版本ubuntu,所以只能動手改了; grub界面顏色設置: vim /usr/share/plymouth/themes/ubuntu-logo/ubuntu-logo.grub; 結束後 ...
  • 近期,重新玩了玩kali下的airmon-ng等一套工具“破解”自家wifi密碼。 首先,有關處理2.4Ghz的wifi,在網上講解詳細且含圖文搭配的教程有許多,所以在這裡就不多贅述了。 這裡,主要說明一下處理5Ghz的wifi,在鎖定目標wifi後使用aireplay-ng指令抓取握手包時在確定無 ...
  • 普通的存儲器器件為單埠,也就是數據的輸入輸出只利用一個埠,設計了兩個輸入輸出埠的就是雙埠sram。雖然還具有擴展系列的4埠sram,但雙埠sram已經非常不錯了。雙埠sram經常應用於cpu與其周邊控制器等類似需要直接訪問存儲器或者需要隨機訪問緩衝器之類的器件之間進行通信的情況。從存儲 ...
  • 在Zabbix Server伺服器上安裝oracle-instantclient11.2後,結果使用sqlplus命令時遇到“sqlplus: error while loading shared libraries: libnsl.so.1: cannot open shared object f... ...
一周排行
    -Advertisement-
    Play Games
  • 比如要拆分“呵呵呵90909086676喝喝999”,下麵當type=0返回的是中文字元串“呵呵呵,喝喝”,type=1返回的是數字字元串“90909086676,999”, private string GetStrings(string str,int type=0) { IList<strin ...
  • Swagger一個優秀的Api介面文檔生成工具。Swagger可以可以動態生成Api介面文檔,有效的降低前後端人員關於Api介面的溝通成本,促進項目高效開發。 1、使用NuGet安裝最新的包:Swashbuckle.AspNetCore。 2、編輯項目文件(NetCoreTemplate.Web.c ...
  • 2020 年 7 月 30 日, 由.NET基金會和微軟 將舉辦一個線上和為期一天的活動,包括 微軟 .NET 團隊的演講者以及社區的演講者。本次線上大會 專註.NET框架構建微服務,演講者分享構建和部署雲原生應用程式的最佳實踐、模式、提示和技巧。有關更多信息和隨時瞭解情況:https://focu... ...
  • #abp框架Excel導出——基於vue #1.技術棧 ##1.1 前端採用vue,官方提供 UI套件用的是iview ##1.2 後臺是abp——aspnetboilerplate 即abp v1,https://github.com/aspnetboilerplate/aspnetboilerp ...
  • 前言 本文的文字及圖片來源於網路,僅供學習、交流使用,不具有任何商業用途,版權歸原作者所有,如有問題請及時聯繫我們以作處理。 作者:碧茂大數據 PS:如有需要Python學習資料的小伙伴可以加下方的群去找免費管理員領取 input()輸入 Python提供了 input() 內置函數從標準輸入讀入一 ...
  • 從12年到20年,python以肉眼可見的趨勢超過了java,成為了當今It界人人皆知的編程語言。 python為什麼這麼火? 網路編程語言搜索指數 適合初學者 Python具有語法簡單、語句清晰的特點,這就讓初學者在學習階段可以把精力集中在編程對象和思維方法上。 大佬都在用 Google,YouT ...
  • 在社會上存在一種普遍的對培訓機構的學生一種歧視的現象,具體表現在,比如:當你去公司面試的時候,一旦你說了你是培訓機構出來的,那麼基本上你就涼了,那麼你瞞著不說,然後又通過了面試成功入職,但是以後一旦在公司被髮現有培訓經歷,可能會面臨被降薪,甚至被辭退,培訓機構出來的學生,在用人單位眼裡就是能力低下的 ...
  • from typing import List# 這道題看了大佬寫的代碼,經過自己的理解寫出來了。# 從最外圍的四周找有沒有為O的,如果有的話就進入深搜函數,然後深搜遍歷# 判斷上下左右的位置是否為Oclass Solution: def solve(self, board: List[List[s ...
  • import requests; import re; import os; # 1.請求網頁 header = { "user-agent":'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, li ...
  • import requests; import re; import os; import parsel; 1.請求網頁 header = { "user-agent":'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537. ...