MYSQL數據庫管理之權限管理

常常遇到有網友在QQ羣或者論壇上問關於mysql權限的問題,今天抽空總結一下關於這幾年使用MYSQL的時候關於MYSQL數據庫的權限管理的經驗,也但願能對使用mysql的網友有所幫助!

1. MYSQL權限簡介

關於mysql的權限簡單的理解就是mysql容許你作你權利之內的事情,不能夠越界。好比只容許你執行select操做，那麼你就不能執行update操做。只容許你從某臺機器上鍊接mysql，那麼你就不能從除那臺機器之外的其餘機器鏈接mysql。

那麼MYSQL的權限是如何實現的呢？這就要說到mysql的兩階段的驗證，下面詳細來介紹：第一階段：服務器首先會檢查你是否容許鏈接。由於建立用戶的時候會加上主機限制，能夠限制成本地、某個IP、某個IP段、以及任何地方等，只容許你從配置的指定地方登陸。後面在實戰的時候會詳細說關於主機的限制。第二階段：若是你能鏈接，MYSQL會檢查你發出的每一個請求，看你是否有足夠的權限實施它。好比你要更新某個表、或者查詢某個表，MYSQL會檢查你對哪一個表或者某個列是否有權限。再好比，你要運行某個存儲過程，MYSQL會檢查你對存儲過程是否有執行權限等。

MYSQL到底都有哪些權限呢？從官網複製一個表來看看：

權限	權限級別	權限說明
CREATE	數據庫、表或索引	建立數據庫、表或索引權限
DROP	數據庫或表	刪除數據庫或表權限
GRANT OPTION	數據庫、表或保存的程序	賦予權限選項
REFERENCES	數據庫或表
ALTER	表	更改表，好比添加字段、索引等
DELETE	表	刪除數據權限
INDEX	表	索引權限
INSERT	表	插入權限
SELECT	表	查詢權限
UPDATE	表	更新權限
CREATE VIEW	視圖	建立視圖權限
SHOW VIEW	視圖	查看視圖權限
ALTER ROUTINE	存儲過程	更改存儲過程權限
CREATE ROUTINE	存儲過程	建立存儲過程權限
EXECUTE	存儲過程	執行存儲過程權限
FILE	服務器主機上的文件訪問	文件訪問權限
CREATE TEMPORARY TABLES	服務器管理	建立臨時表權限
LOCK TABLES	服務器管理	鎖表權限
CREATE USER	服務器管理	建立用戶權限
PROCESS	服務器管理	查看進程權限
RELOAD	服務器管理	執行flush-hosts, flush-logs, flush-privileges, flush-status, flush-tables, flush-threads, refresh, reload等命令的權限
REPLICATION CLIENT	服務器管理	複製權限
REPLICATION SLAVE	服務器管理	複製權限
SHOW DATABASES	服務器管理	查看數據庫權限
SHUTDOWN	服務器管理	關閉數據庫權限
SUPER	服務器管理	執行kill線程權限

MYSQL的權限如何分佈，就是針對表能夠設置什麼權限，針對列能夠設置什麼權限等等，這個能夠從官方文檔中的一個表來講明：

權限分佈	可能的設置的權限
表權限	'Select', 'Insert', 'Update', 'Delete', 'Create', 'Drop', 'Grant', 'References', 'Index', 'Alter'
列權限	'Select', 'Insert', 'Update', 'References'
過程權限	'Execute', 'Alter Routine', 'Grant'

針對權限這部分，最主要的是要知道MYSQL是如何驗證的（兩階段驗證），以及mysql各個權限是作什麼用的，以及那些權限用在什麼地方(表or列？)。若是這些把握了那麼MYSQL權限對你來講就是小菜一碟了，只要看一下後面的權限管理就能夠融會貫通了。

1. MYSQL權限經驗原則

權限控制主要是出於安全因素，所以須要遵循一下幾個經驗原則：

1. 只授予能知足須要的最小權限，防止用戶幹壞事。哈哈。好比用戶只是須要查詢，那就只給select權限就能夠了，不要給用戶賦予update、insert或者delete權限。

2. 建立用戶的時候限制用戶的登陸主機，通常是限制成指定IP或者內網IP段。

3. 初始化數據庫的時候刪除沒有密碼的用戶。安裝完數據庫的時候會自動建立一些用戶，這些用戶默認沒有密碼。

4. 爲每一個用戶設置知足密碼複雜度的密碼。

5. 按期清理不須要的用戶。回收權限或者刪除用戶。

1. MYSQL權限實戰

2. 1.  GRANT命令使用說明

先來看一個例子，建立一個只容許從本地登陸的超級用戶feihong，並容許將權限賦予別的用戶，密碼爲test@feihong.111

GRANT ALL PRIVILEGES ON *.* TO feihong@'localhost' IDENTIFIED BY 'test@feihong.111' WITH GRANT OPTION;

GRANT命令說明：

ALL PRIVILEGES 是表示全部權限，你也可使用select、update等權限提到的權限。

ON 用來指定權限針對哪些庫和表。

*.* 中前面的*號用來指定數據庫名，後面的*號用來指定表名。

TO 表示將權限賦予某個用戶。

feihong@'localhost' 表示feihong用戶，@後面接限制的主機，能夠是IP、IP段、域名以及%，%表示任何地方。注意：這裏%有的版本不包括本地，之前碰到過給某個用戶設置了%容許任何地方登陸，可是在本地登陸不了，這個和版本有關係，遇到這個問題再加一個localhost的用戶就能夠了。

IDENTIFIED BY 指定用戶的登陸密碼。

WITH GRANT OPTION 這個選項表示該用戶能夠將本身擁有的權限受權給別人。注意：常常有人在建立操做用戶的時候不指定WITH GRANT OPTION選項致使後來該用戶不能使用GRANT命令建立用戶或者給其餘用戶受權。

備註：可使用GRANT重複給用戶添加權限，權限疊加，好比你先給用戶添加了一個select權限，而後又給用戶添加了一個insert權限，那麼該用戶就同時擁有了select和insert權限。

1. 建立一個超級用戶

建立一個只容許從本地登陸的超級用戶feihong，並容許將權限賦予別的用戶，密碼爲test@feihong.111

GRANT ALL PRIVILEGES ON *.* TO feihong@'localhost' IDENTIFIED BY 'test@feihong.111' WITH GRANT OPTION;

1. 建立一個網站用戶(程序用戶)

建立一個通常的程序用戶，這個用戶可能只須要SELECT, INSERT, UPDATE, DELETE, CREATE TEMPORARY TABLES等權限若是有存儲過程還須要加上EXECUTE權限，通常是指定內網網段192.168.100網段。

GRANT  USAGE,SELECT, INSERT, UPDATE, DELETE, SHOW VIEW ,CREATE TEMPORARY TABLES,EXECUTE ON `test`.* TO webuser@'192.168.100.%' IDENTIFIED BY  'test@feihong.111';

1. 建立一個普通用戶(僅有查詢權限)

GRANT USAGE,SELECT ON `test`.* TO public@'192.168.100.%' IDENTIFIED BY  'public@feihong.111';

1. 刷新權限

使用這個命令使權限生效，尤爲是你對那些權限表user、db、host等作了update或者delete更新的時候。之前遇到過使用grant後權限沒有更新的狀況，你們能夠養成習慣，只要對權限作了更改就使用FLUSH PRIVILEGES命令來刷新權限。

FLUSH PRIVILEGES;

1. 查看權限

使用以下命令能夠方便的查看到某個用戶的權限：

SHOW GRANTS FOR 'webuser'@'192.168.100.%';

1. 回收權限

將前面建立的webuser用戶的DELETE權限回收，使用以下命令

REVOKE DELETE ON test.* FROM 'webuser'@'192.168.100.%';

1. 刪除用戶

注意刪除用戶不要使用DELETE直接刪除，由於使用DELETE刪除後用戶的權限並未刪除，新建同名用戶後又會繼承之前的權限。正確的作法是使用DROP USER命令刪除用戶，好比要刪除'webuser'@'192.168.100.%'用戶採用以下命令：

DROP USER 'webuser'@'192.168.100.%';

你們能夠採用percona-toolkit工具中的pt-show-grants工具來輔助管理mysql權限。具體使用見博文http://blog.chinaunix.net/uid-20639775-id-3207926.html