這篇文章主要介紹“MySQL權(quán)限控制的簡(jiǎn)單介紹”,在日常操作中,相信很多人在MySQL權(quán)限控制的簡(jiǎn)單介紹問(wèn)題上存在疑惑,小編查閱了各式資料,整理出簡(jiǎn)單好用的操作方法,希望對(duì)大家解答”MySQL權(quán)限控制的簡(jiǎn)單介紹”的疑惑有所幫助!接下來(lái),請(qǐng)跟著小編一起來(lái)學(xué)習(xí)吧!
目前創(chuàng)新互聯(lián)公司已為上1000家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)頁(yè)空間、網(wǎng)站托管、企業(yè)網(wǎng)站設(shè)計(jì)、定襄網(wǎng)站維護(hù)等服務(wù),公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng),共同發(fā)展。背景:MySQL-5.7.11-GA
1.MySQL權(quán)限控制的簡(jiǎn)單介紹
2.需求
3.實(shí)現(xiàn)中需要解決的幾個(gè)問(wèn)題
4.初步方案的設(shè)計(jì)
5.改進(jìn)方案的設(shè)想
1.MySQL權(quán)限控制的簡(jiǎn)單介紹
MySQL的權(quán)限控制,從范圍上,由大到小分為三個(gè)級(jí)別:MySQL級(jí),DB級(jí),對(duì)象級(jí);
MySQL級(jí)指的是對(duì)MySQL實(shí)例本身產(chǎn)生影響的操作,包括但不限于修改MySQL的參數(shù),如buffer_pool_size;關(guān)閉/啟動(dòng)MySQL等等,比較明顯的特點(diǎn)在于MySQL級(jí)別的操作權(quán)限沒(méi)有指定具體的數(shù)據(jù)庫(kù)(同樣意味著對(duì)任何MySQL實(shí)例中的數(shù)據(jù)庫(kù)生效,類似于全局權(quán)限的意思),(特殊的情況:創(chuàng)建數(shù)據(jù)庫(kù),雖然會(huì)指定數(shù)據(jù)庫(kù)名,但是這個(gè)數(shù)據(jù)庫(kù)本身不存在,所以也算是MySQL級(jí)的權(quán)限);
DB級(jí)指的是針對(duì)已存在的具體數(shù)據(jù)庫(kù)的操作,包括修改數(shù)據(jù)庫(kù)的字符集,創(chuàng)建或者刪除具體的已存在的數(shù)據(jù)庫(kù)等,比較明顯的特點(diǎn)在于DB級(jí)的操作權(quán)限是限制在特定的數(shù)據(jù)庫(kù)中;
對(duì)象級(jí)的操作主要指影響的是某個(gè)數(shù)據(jù)庫(kù)內(nèi)部的對(duì)象,例如表,索引,存儲(chǔ)過(guò)程等;
不同級(jí)別之間權(quán)限的相互影響:采用交集,即MySQL級(jí)+DB級(jí)+對(duì)象級(jí);
可以得出MySQL權(quán)限設(shè)置有兩個(gè)特點(diǎn),
DB級(jí)和對(duì)象級(jí)的權(quán)限,在設(shè)置的時(shí)候就必須要指明具體的DB和對(duì)象,如果DB和對(duì)象未知,則只能靠MySQL級(jí)的去設(shè)置全局權(quán)限,針對(duì)現(xiàn)有/新創(chuàng)建的DB和對(duì)象生效;
如果在高級(jí)別設(shè)置了權(quán)限,則會(huì)取所有級(jí)別的權(quán)限的交集,比如設(shè)置了create,insert on *.*(MySQL級(jí)別),create on testdb.*(DB級(jí))中,MySQL級(jí)(全局權(quán)限)禁止掉的insert不會(huì)生效,依然可以insert數(shù)據(jù)到testdb的表中;但是設(shè)置了create,insert on testdb.*(DB級(jí))和create on *.*(MySQL級(jí))時(shí),用戶是可以在testdb進(jìn)行insert操作的,意味著在高級(jí)別的權(quán)限上,設(shè)置的--“沒(méi)有insert權(quán)限”并不會(huì)覆蓋低級(jí)別上單獨(dú)賦予的“insert權(quán)限”。
如圖:
權(quán)限控制在MySQL中的實(shí)現(xiàn):具體的權(quán)限設(shè)置存儲(chǔ)于MySQL系統(tǒng)庫(kù)的一些表里面,MySQL級(jí)的設(shè)置存在于user表中,當(dāng)一個(gè)client試圖連接MySQL實(shí)例的時(shí)候,會(huì)先檢查這個(gè)表中的權(quán)限(包括賬戶名,密碼,HOST的驗(yàn)證),通過(guò)之后,才能連接到MySQL實(shí)例。
其他級(jí)別的設(shè)置會(huì)保存在db,tables_priv,column_priv等表里面,具體信息可以在數(shù)據(jù)庫(kù)中查看。
2.需求
希望能夠有一個(gè)“admin”角色,具備root的所有權(quán)限,除了修改MySQL的global設(shè)置和主從設(shè)置等;
3.實(shí)現(xiàn)中需要解決的幾個(gè)問(wèn)題
首先想到的辦法就是:grant all on *.* to admin@'%' with grant option,然后revoke super on *.* from admin@'%',不過(guò)問(wèn)題來(lái)了, 在這種設(shè)置下,admin是可以直接update mysql.user表,然后手動(dòng)添加super權(quán)限的;
而且如果要能創(chuàng)建新的DB,且為新的用戶賦予新DB的各種權(quán)限的話,就需要至少是Create+增刪改查的權(quán)限,且對(duì)象為全局(on *.*),那么同樣的,admin一樣可以修改mysql.user表。
4.初步方案的設(shè)計(jì)
使用shell腳本,在里面添加sudo mysql -u -p -e來(lái)完成創(chuàng)建新DB,創(chuàng)建新用戶,授權(quán)等操作,然后禁止所使用的系統(tǒng)用戶對(duì)這個(gè)腳本的cat,vim,vi等文本操作權(quán)限;
這種方案的問(wèn)題也不少:其他的用戶可以登錄DB Server;腳本中保存的root密碼可能會(huì)被自身不熟悉的方式獲??;etc...
5.改進(jìn)方案的設(shè)想
如果有個(gè)web就好了,能夠屏蔽所有服務(wù)器端的細(xì)節(jié)和操作,在頁(yè)面上點(diǎn)點(diǎn)點(diǎn)就做完了_(:з」∠)_
到此,關(guān)于“MySQL權(quán)限控制的簡(jiǎn)單介紹”的學(xué)習(xí)就結(jié)束了,希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí),快去試試吧!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí),請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)-成都網(wǎng)站建設(shè)公司網(wǎng)站,小編會(huì)繼續(xù)努力為大家?guī)?lái)更多實(shí)用的文章!