MySql建立用戶及受權
設置MySQL用戶帳號,指定哪一個用戶能夠鏈接服務器,從哪裏鏈接,鏈接後能作什麼。
MySQL管理員應該知道如何設置MySQL用戶帳號,指出哪一個用戶能夠鏈接服務器,從哪裏鏈接,鏈接後能作什麼。MySQL 3.22.11開始引入兩條語句使得這項工做更容易作:GRANT語句建立MySQL用戶並指定其權限,而REVOKE語句刪除權限
當你對一個用戶發出一條GRANT語句時,在user表中爲該用戶建立一條記錄。若是語句指定任何全局權限(管理權限或適用於全部數據庫的權限),這些也記錄在user表中。若是你指定數據庫、表和列級權限,他們被分別記錄在db、tables_priv和columns_priv表中。
用GRANT和REVOKE比直接修改受權表更容易些,然而,建議你閱讀一下《MySQL安全性指南》。這些表異常重要,並且做爲一名管理員,你應該理解它們如何超越GRANT和REVOKE語句的功能水平。
在下面的章節中,咱們將介紹如何設置MySQL用戶帳號並受權。咱們也涉及如何撤權和從受權表中刪除用戶。
你可能也想考慮使用mysqlaccess和mysql_setpermission腳本,它是MySQL分發的一部分,它們是Perl腳本,提供GRANT語句的另外一種選擇設置用戶帳號。mysql_setpermission須要安裝DBI支持。
1 建立用戶並受權
GRANT語句的語法看上去像這樣
GRANT privileges (columns)
ON what
TO user IDENTIFIED BY "password"
WITH GRANT OPTION
要使用該語句,你須要填寫下列部分:
privileges
授予用戶的權限,下表列出可用於GRANT語句的權限指定符:
ALL意味着「全部權限」,UASGE意味着無權限,即建立用戶,但不授予權限。
columns
權限運用的列,它是可選的,而且你只能設置列特定的權限。若是命令有多於一個列,應該用逗號分開它們。
what
權限運用的級別。權限能夠是全局的(適用於全部數據庫和全部表)、特定數據庫(適用於一個數據庫中的全部表)或特定表的。能夠經過指定一個columns字句是權限是列特定的。
user
權限授予的用戶,它由一個用戶名和主機名組成。在MySQL中,你不只指定誰能鏈接,還有從哪裏鏈接。這容許你讓兩個同名用戶從不一樣地方鏈接。MySQL讓你區分他們,並彼此獨立地賦予權限。
MySQL中的一個用戶名就是你鏈接服務器時指定的用戶名,該名字沒必要與你的Unix登陸名或Windows名聯繫起來。缺省地,若是你不明確指定一個名字,客戶程序將使用你的登陸名做爲MySQL用戶名。這只是一個約定。你能夠在受權表中將該名字改成nobody,而後以nobody鏈接執行須要超級用戶權限的操做。
password
賦予用戶的口令,它是可選的。若是你對新用戶沒有指定IDENTIFIEDBY子句,該用戶不賦給口令(不安全)。對現有用戶,任何你指定的口令將代替老口令。若是你不指定口令,老口令保持不變,當你用IDENTIFIEDBY時,口令字符串用改用口令的字面含義,GRANT將爲你編碼口令,不要象你用SET PASSWORD 那樣使用password()函數。
WITH GRANT OPTION子句是可選的。若是你包含它,用戶能夠授予權限經過GRANT語句受權給其它用戶。你能夠用該子句給與其它用戶受權的能力。
用戶名、口令、數據庫和表名在受權表記錄中是大小寫敏感的,主機名和列名不是。
通常地,你能夠經過詢問幾個簡單的問題來識別GRANT語句的種類:
誰能鏈接,從那兒鏈接?
用戶應該有什麼級別的權限,他們適用於什麼?
用戶應該容許管理權限嗎?
下面就討論一些例子。
1.1 誰能鏈接,從那兒鏈接?
你能夠容許一個用戶從特定的或一系列主機鏈接。有一個極端,若是你知道降職從一個主機鏈接,你能夠將權限侷限於單個主機:
GRANT ALL ON samp_db.* TO boris@localhost IDENTIFIED BY "ruby"
GRANT ALL ON samp_db.* TO fred@res.mars.com IDENTIFIED BY "quartz"
(samp_db.*意思是「samp_db數據庫的全部表)另外一個極端是,你可能有一個常常旅行並須要能從世界各地的主機鏈接的用戶max。在這種狀況下,你能夠容許他不管從哪裏鏈接:
GRANT ALL ON samp_db.* TO max@% IDENTIFIED BY "diamond"
「%」字符起通配符做用,與LIKE模式匹配的含義相同。在上述語句中,它意味着「任何主機」。因此max和max@%等價。這是創建用戶最簡單的方法,但也是最不安全的。
取其中,你能夠容許一個用戶從一個受限的主機集合訪問。例如,要容許mary從snake.net域的任何主機鏈接,用一個%.snake.net主機指定符:
GRANT ALL ON samp_db.* TO mary@.snake.net IDENTIFIED BY "quartz";
若是你喜歡,用戶標識符的主機部分能夠用IP地址而不是一個主機名來給定。你能夠指定一個IP地址或一個包含模式字符的地址,並且,從MySQL 3.23,你還能夠指定具備指出用於網絡號的位數的網絡掩碼的IP號:
GRANT ALL ON samp_db.* TO boris@192.168.128.3 IDENTIFIED BY "ruby"
GRANT ALL ON samp_db.* TO fred@192.168.128.% IDENTIFIED BY "quartz"
GRANT ALL ON samp_db.* TO rex@192.168.128.0/17 IDENTIFIED BY "ruby"
第一個例子指出用戶能從其鏈接的特定主機,第二個指定對於C類子網192.168.128的IP模式,而第三條語句中,192.168.128.0/17指定一個17位網絡號並匹配具備192.168.128頭17位的IP地址
若是MySQL抱怨你指定的用戶值,你可能須要使用引號(只將用戶名和主機名部分分開加引號)。
GRANT ALL ON samp_db.president TO "my friend"@"boa.snake.net"
1.2 用戶應該有什麼級別的權限和它們應該適用於什麼?
你能夠受權不一樣級別的權限,全局權限是最強大的,由於它們適用於任何數據庫。要使ethel成爲可作任何事情的超級用戶,包括能受權給其它用戶,發出下列語句:
GRANT ALL ON *.* TO ethel@localhost IDENTIFIED BY "coffee" WITH GRANT OPTION
ON子句中的*.*意味着「全部數據庫、全部表」。從安全考慮,咱們指定ethel只能從本地鏈接。限制一個超級用戶能夠鏈接的主機一般是明智的,由於它限制了試圖破解口令的主機。
有些權限(FILE、PROCESS、RELOAD和SHUTDOWN)是管理權限而且只能用"ON*.*"全局權限指定符受權。若是你願意,你能夠受權這些權限,而不受權數據庫權限。例如,下列語句設置一個flush用戶,他只能發出flush語句。這可能在你須要執行諸如清空日誌等的管理腳本中會有用:
GRANT RELOAD ON *.* TO flushl@localhost IDENTIFIED BY "flushpass"
通常地,你想受權管理權限,吝嗇點,由於擁有它們的用戶能夠影響你的服務器的操做。
數據庫級權限適用於一個特定數據庫中的全部表,它們可經過使用ON db_name.*子句授予:
GRANT ALL ON samp_db TO bill@racer.snake.net INDETIFIED BY "rock"
GRANT SELECT ON samp_db TO ro_user@% INDETIFIED BY "rock"
第一條語句向bill受權samp_db數據庫中全部表的權限,第二條建立一個嚴格限制訪問的用戶ro_user(只讀用戶),只能訪問samp_db數據庫中的全部表,但只有讀取,即用戶只能發出SELECT語句。
你能夠列出一系列同時授予的各個權限。例如,若是你想讓用戶能讀取並能修改現有數據庫的內容,但不能建立新表或刪除表,以下授予這些權限:
GRANT SELECT,INSERT,DELETE,UPDATE ON samp_db TO bill@snake.net INDETIFIED BY "rock"
對於更精緻的訪問控制,你能夠在各個表上受權,或甚至在表的每一個列上。當你想向用戶隱藏一個表的部分時,或你想讓一個用戶只能修改特定的列時,列特定權限很是有用。如:
GRANT SELECT ON samp_db.member TO bill@localhost INDETIFIED BY "rock"
GRANT UPDATE (expiration) ON samp_db. member TO bill@localhost
第一條語句授予對整個member表的讀權限並設置了一個口令,第二條語句增長了UPDATE權限,當只對expiration列。不必再指定口令,由於第一條語句已經指定了。
若是你想對多個列授予權限,指定一個用逗號分開的列表。例如,對assistant用戶增長member表的地址字段的UPDATE權限,使用以下語句,新權限將加到用戶已有的權限中:
GRANT UPDATE (street,city,state,zip) ON samp_db TO assistant@localhost
一般,你不想授予任何比用戶確實須要的權限寬的權限。然而,當你想讓用戶能建立一個臨時表以保存中間結果,但你又不想讓他們在一個包含他們不該修改內容的數據庫中這樣作時,發生了要授予在一個數據庫上的相對寬鬆的權限。你能夠經過創建一個分開的數據庫(如tmp)並授予開數據庫上的全部權限來進行。例如,若是你想讓來自mars.net域中主機的任何用戶使用tmp數據庫,你能夠發出這樣的GRANT語句:
GRANT ALL ON tmp.* TO ""@mars.net
在你作完以後,用戶能夠建立並用tmp.tbl_name形式引用tmp中的表(在用戶指定符中的""建立一個匿名用戶,任何用戶均匹配空白用戶名)。
1.3 用戶應該被容許管理權限嗎?
你能夠容許一個數據庫的擁有者經過授予數據庫上的全部擁有者權限來控制數據庫的訪問,在受權時,指定WITH GRANTOPTION。例如:若是你想讓alicia能從big.corp.com域的任何主機鏈接並具備sales數據庫中全部表的管理員權限,你能夠用以下GRANT語句:
GRANT ALL ON sales.* TO alicia@%.big.corp.com INDETIFIED BY "applejuice" WITH GRANT OPTION
在效果上WITH GRANTOPTION子句容許你把訪問受權的權利授予另外一個用戶。要注意,擁有GRANT權限的兩個用戶能夠彼此受權。若是你只給予了第一個用戶SELECT權限,而另外一個用戶有GRANT加上SELECT權限,那麼第二個用戶能夠是第一個用戶更「強大」。
2 撤權並刪除用戶
要取消一個用戶的權限,使用REVOKE語句。REVOKE的語法很是相似於GRANT語句,除了TO用FROM取代而且沒有INDETIFED BY和WITH GRANT OPTION子句:
REVOKE privileges (columns) ON what FROM user
user部分必須匹配原來GRANT語句的你想撤權的用戶的user部分。privileges部分不需匹配,你能夠用GRANT語句受權,而後用REVOKE語句只撤銷部分權限。
REVOKE語句只刪除權限,而不刪除用戶。即便你撤銷了全部權限,在user表中的用戶記錄依然保留,這意味着用戶仍然能夠鏈接服務器。要徹底刪除一個用戶,你必須用一條DELETE語句明確從user表中刪除用戶記錄:
%mysql -u root mysql
mysql>DELETE FROM user
->WHERE User="user_name" and Host="host_name";
mysql>FLUSH PRIVILEGES;
DELETE語句刪除用戶記錄,而FLUSH語句告訴服務器重載受權表。
MySQL管理員應該知道如何設置MySQL用戶帳號,指出哪一個用戶能夠鏈接服務器,從哪裏鏈接,鏈接後能作什麼。MySQL 3.22.11開始引入兩條語句使得這項工做更容易作:GRANT語句建立MySQL用戶並指定其權限,而REVOKE語句刪除權限
當你對一個用戶發出一條GRANT語句時,在user表中爲該用戶建立一條記錄。若是語句指定任何全局權限(管理權限或適用於全部數據庫的權限),這些也記錄在user表中。若是你指定數據庫、表和列級權限,他們被分別記錄在db、tables_priv和columns_priv表中。
用GRANT和REVOKE比直接修改受權表更容易些,然而,建議你閱讀一下《MySQL安全性指南》。這些表異常重要,並且做爲一名管理員,你應該理解它們如何超越GRANT和REVOKE語句的功能水平。
在下面的章節中,咱們將介紹如何設置MySQL用戶帳號並受權。咱們也涉及如何撤權和從受權表中刪除用戶。
你可能也想考慮使用mysqlaccess和mysql_setpermission腳本,它是MySQL分發的一部分,它們是Perl腳本,提供GRANT語句的另外一種選擇設置用戶帳號。mysql_setpermission須要安裝DBI支持。
1 建立用戶並受權
GRANT語句的語法看上去像這樣
GRANT privileges (columns)
ON what
TO user IDENTIFIED BY "password"
WITH GRANT OPTION
要使用該語句,你須要填寫下列部分:
privileges
授予用戶的權限,下表列出可用於GRANT語句的權限指定符:
ALL意味着「全部權限」,UASGE意味着無權限,即建立用戶,但不授予權限。
columns
權限運用的列,它是可選的,而且你只能設置列特定的權限。若是命令有多於一個列,應該用逗號分開它們。
what
權限運用的級別。權限能夠是全局的(適用於全部數據庫和全部表)、特定數據庫(適用於一個數據庫中的全部表)或特定表的。能夠經過指定一個columns字句是權限是列特定的。
user
權限授予的用戶,它由一個用戶名和主機名組成。在MySQL中,你不只指定誰能鏈接,還有從哪裏鏈接。這容許你讓兩個同名用戶從不一樣地方鏈接。MySQL讓你區分他們,並彼此獨立地賦予權限。
MySQL中的一個用戶名就是你鏈接服務器時指定的用戶名,該名字沒必要與你的Unix登陸名或Windows名聯繫起來。缺省地,若是你不明確指定一個名字,客戶程序將使用你的登陸名做爲MySQL用戶名。這只是一個約定。你能夠在受權表中將該名字改成nobody,而後以nobody鏈接執行須要超級用戶權限的操做。
password
賦予用戶的口令,它是可選的。若是你對新用戶沒有指定IDENTIFIEDBY子句,該用戶不賦給口令(不安全)。對現有用戶,任何你指定的口令將代替老口令。若是你不指定口令,老口令保持不變,當你用IDENTIFIEDBY時,口令字符串用改用口令的字面含義,GRANT將爲你編碼口令,不要象你用SET PASSWORD 那樣使用password()函數。
WITH GRANT OPTION子句是可選的。若是你包含它,用戶能夠授予權限經過GRANT語句受權給其它用戶。你能夠用該子句給與其它用戶受權的能力。
用戶名、口令、數據庫和表名在受權表記錄中是大小寫敏感的,主機名和列名不是。
通常地,你能夠經過詢問幾個簡單的問題來識別GRANT語句的種類:
誰能鏈接,從那兒鏈接?
用戶應該有什麼級別的權限,他們適用於什麼?
用戶應該容許管理權限嗎?
下面就討論一些例子。
1.1 誰能鏈接,從那兒鏈接?
你能夠容許一個用戶從特定的或一系列主機鏈接。有一個極端,若是你知道降職從一個主機鏈接,你能夠將權限侷限於單個主機:
GRANT ALL ON samp_db.* TO boris@localhost IDENTIFIED BY "ruby"
GRANT ALL ON samp_db.* TO fred@res.mars.com IDENTIFIED BY "quartz"
(samp_db.*意思是「samp_db數據庫的全部表)另外一個極端是,你可能有一個常常旅行並須要能從世界各地的主機鏈接的用戶max。在這種狀況下,你能夠容許他不管從哪裏鏈接:
GRANT ALL ON samp_db.* TO max@% IDENTIFIED BY "diamond"
「%」字符起通配符做用,與LIKE模式匹配的含義相同。在上述語句中,它意味着「任何主機」。因此max和max@%等價。這是創建用戶最簡單的方法,但也是最不安全的。
取其中,你能夠容許一個用戶從一個受限的主機集合訪問。例如,要容許mary從snake.net域的任何主機鏈接,用一個%.snake.net主機指定符:
GRANT ALL ON samp_db.* TO mary@.snake.net IDENTIFIED BY "quartz";
若是你喜歡,用戶標識符的主機部分能夠用IP地址而不是一個主機名來給定。你能夠指定一個IP地址或一個包含模式字符的地址,並且,從MySQL 3.23,你還能夠指定具備指出用於網絡號的位數的網絡掩碼的IP號:
GRANT ALL ON samp_db.* TO boris@192.168.128.3 IDENTIFIED BY "ruby"
GRANT ALL ON samp_db.* TO fred@192.168.128.% IDENTIFIED BY "quartz"
GRANT ALL ON samp_db.* TO rex@192.168.128.0/17 IDENTIFIED BY "ruby"
第一個例子指出用戶能從其鏈接的特定主機,第二個指定對於C類子網192.168.128的IP模式,而第三條語句中,192.168.128.0/17指定一個17位網絡號並匹配具備192.168.128頭17位的IP地址
若是MySQL抱怨你指定的用戶值,你可能須要使用引號(只將用戶名和主機名部分分開加引號)。
GRANT ALL ON samp_db.president TO "my friend"@"boa.snake.net"
1.2 用戶應該有什麼級別的權限和它們應該適用於什麼?
你能夠受權不一樣級別的權限,全局權限是最強大的,由於它們適用於任何數據庫。要使ethel成爲可作任何事情的超級用戶,包括能受權給其它用戶,發出下列語句:
GRANT ALL ON *.* TO ethel@localhost IDENTIFIED BY "coffee" WITH GRANT OPTION
ON子句中的*.*意味着「全部數據庫、全部表」。從安全考慮,咱們指定ethel只能從本地鏈接。限制一個超級用戶能夠鏈接的主機一般是明智的,由於它限制了試圖破解口令的主機。
有些權限(FILE、PROCESS、RELOAD和SHUTDOWN)是管理權限而且只能用"ON*.*"全局權限指定符受權。若是你願意,你能夠受權這些權限,而不受權數據庫權限。例如,下列語句設置一個flush用戶,他只能發出flush語句。這可能在你須要執行諸如清空日誌等的管理腳本中會有用:
GRANT RELOAD ON *.* TO flushl@localhost IDENTIFIED BY "flushpass"
通常地,你想受權管理權限,吝嗇點,由於擁有它們的用戶能夠影響你的服務器的操做。
數據庫級權限適用於一個特定數據庫中的全部表,它們可經過使用ON db_name.*子句授予:
GRANT ALL ON samp_db TO bill@racer.snake.net INDETIFIED BY "rock"
GRANT SELECT ON samp_db TO ro_user@% INDETIFIED BY "rock"
第一條語句向bill受權samp_db數據庫中全部表的權限,第二條建立一個嚴格限制訪問的用戶ro_user(只讀用戶),只能訪問samp_db數據庫中的全部表,但只有讀取,即用戶只能發出SELECT語句。
你能夠列出一系列同時授予的各個權限。例如,若是你想讓用戶能讀取並能修改現有數據庫的內容,但不能建立新表或刪除表,以下授予這些權限:
GRANT SELECT,INSERT,DELETE,UPDATE ON samp_db TO bill@snake.net INDETIFIED BY "rock"
對於更精緻的訪問控制,你能夠在各個表上受權,或甚至在表的每一個列上。當你想向用戶隱藏一個表的部分時,或你想讓一個用戶只能修改特定的列時,列特定權限很是有用。如:
GRANT SELECT ON samp_db.member TO bill@localhost INDETIFIED BY "rock"
GRANT UPDATE (expiration) ON samp_db. member TO bill@localhost
第一條語句授予對整個member表的讀權限並設置了一個口令,第二條語句增長了UPDATE權限,當只對expiration列。不必再指定口令,由於第一條語句已經指定了。
若是你想對多個列授予權限,指定一個用逗號分開的列表。例如,對assistant用戶增長member表的地址字段的UPDATE權限,使用以下語句,新權限將加到用戶已有的權限中:
GRANT UPDATE (street,city,state,zip) ON samp_db TO assistant@localhost
一般,你不想授予任何比用戶確實須要的權限寬的權限。然而,當你想讓用戶能建立一個臨時表以保存中間結果,但你又不想讓他們在一個包含他們不該修改內容的數據庫中這樣作時,發生了要授予在一個數據庫上的相對寬鬆的權限。你能夠經過創建一個分開的數據庫(如tmp)並授予開數據庫上的全部權限來進行。例如,若是你想讓來自mars.net域中主機的任何用戶使用tmp數據庫,你能夠發出這樣的GRANT語句:
GRANT ALL ON tmp.* TO ""@mars.net
在你作完以後,用戶能夠建立並用tmp.tbl_name形式引用tmp中的表(在用戶指定符中的""建立一個匿名用戶,任何用戶均匹配空白用戶名)。
1.3 用戶應該被容許管理權限嗎?
你能夠容許一個數據庫的擁有者經過授予數據庫上的全部擁有者權限來控制數據庫的訪問,在受權時,指定WITH GRANTOPTION。例如:若是你想讓alicia能從big.corp.com域的任何主機鏈接並具備sales數據庫中全部表的管理員權限,你能夠用以下GRANT語句:
GRANT ALL ON sales.* TO alicia@%.big.corp.com INDETIFIED BY "applejuice" WITH GRANT OPTION
在效果上WITH GRANTOPTION子句容許你把訪問受權的權利授予另外一個用戶。要注意,擁有GRANT權限的兩個用戶能夠彼此受權。若是你只給予了第一個用戶SELECT權限,而另外一個用戶有GRANT加上SELECT權限,那麼第二個用戶能夠是第一個用戶更「強大」。
2 撤權並刪除用戶
要取消一個用戶的權限,使用REVOKE語句。REVOKE的語法很是相似於GRANT語句,除了TO用FROM取代而且沒有INDETIFED BY和WITH GRANT OPTION子句:
REVOKE privileges (columns) ON what FROM user
user部分必須匹配原來GRANT語句的你想撤權的用戶的user部分。privileges部分不需匹配,你能夠用GRANT語句受權,而後用REVOKE語句只撤銷部分權限。
REVOKE語句只刪除權限,而不刪除用戶。即便你撤銷了全部權限,在user表中的用戶記錄依然保留,這意味着用戶仍然能夠鏈接服務器。要徹底刪除一個用戶,你必須用一條DELETE語句明確從user表中刪除用戶記錄:
%mysql -u root mysql
mysql>DELETE FROM user
->WHERE User="user_name" and Host="host_name";
mysql>FLUSH PRIVILEGES;
DELETE語句刪除用戶記錄,而FLUSH語句告訴服務器重載受權表。
相關文章
- 1. mysql建立用戶,受權
- 2. Python--day42--mysql建立用戶及受權
- 3. MySQL建立用戶以及受權
- 4. mysql 建立用戶及受權(2)
- 5. mysql 建立用戶及受權(1)
- 6. MySQL建立數據庫與建立用戶以及受權
- 7. MySQL建立用戶與受權方法
- 8. mysql建立用戶並受權
- 9. MySQL建立用戶與受權
- 10. MySQl建立用戶和受權
- 更多相關文章...
- • MySQL用戶授權(GRANT) - MySQL教程
- • MySQL創建用戶(CREATE USER) - MySQL教程
- • 適用於PHP初學者的學習線路和建議
- • 漫談MySQL的鎖機制
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. mysql建立用戶,受權
- 2. Python--day42--mysql建立用戶及受權
- 3. MySQL建立用戶以及受權
- 4. mysql 建立用戶及受權(2)
- 5. mysql 建立用戶及受權(1)
- 6. MySQL建立數據庫與建立用戶以及受權
- 7. MySQL建立用戶與受權方法
- 8. mysql建立用戶並受權
- 9. MySQL建立用戶與受權
- 10. MySQl建立用戶和受權