MySQL8安全指南之账号控制与账户管理:账户类型

最新推荐文章于 2024-05-28 12:27:19 发布
原创 最新推荐文章于 2024-05-28 12:27:19 发布 · 653 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#mysql

文章目录

账户类型

从MySQL 8.0.16开始,MySQL引入了基于 SYSTEM_USER 用户权限的用户帐户类别概念。

系统和常规账户

MySQL 引入了用户帐户类别的概念,根据是否具有 SYSTEM_USER 权限来区分系统用户和普通用户:

  • 具有 SYSTEM_USER 权限的用户是系统用户。
  • 没有 SYSTEM_USER 权限的用户是普通用户。

受 SYSTEM_USER 权限影响的操作

SYSTEM_USER 权限会影响这些操作:

  • 账户操作。帐户操作包括创建和删除帐户、授予和撤消权限、更改帐户身份验证特征(如凭据或身份验证插件)以及更改其他帐户特征(如密码过期策略)。使用帐户管理语句(如CREATE USERGRANT)操作系统帐户需要SYSTEM_USER权限。要防止帐户以这种方式修改系统帐户,请将其设置为普通帐户,不要授予它SYSTEM_USER权限。

  • 正在终止当前会话和其中执行的语句。要终止以 SYSTEM_USER 权限执行的会话或语句,除了任何其他必需的权限之外,您自己的会话还必须具有 SYSTEM_USER 权限。

  • 设置存储对象的DEFINER属性。要将存储对象的DEFINER属性设置为具有SYSTEM_USER权限的帐户,您必须拥有SYSTEM_USER权限,以及任何其他必需的权限

  • 指定强制角色。具有SYSTEM_USER权限的角色不能在mandatory_roles系统变量的值中列出。在 MySQL 8.0.16 之前,任何角色都可以在mandatory_roles 中列出。

系统会话和普通会话

服务器内执行的会话分为系统会话或常规会话,类似于系统用户和常规用户的区别:

  • 拥有 SYSTEM_USER 权限的会话是系统会话。
  • 不拥有 SYSTEM_USER 权限的会话是常规会话。

常规会话只能执行常规用户允许的操作。系统会话还能够执行仅允许系统用户执行的操作。

会话拥有的权限是直接授予其帐户的权限,加上当前会话活跃的所有角色的权限。因此,会话可能是系统会话,因为它的帐户已被直接授予SYSTEM_USER 权限,或者因为会话已激活具有SYSTEM_USER 权限的角色。

由于激活和取消激活角色可以更改会话拥有的权限,因此会话可以从常规会话更改为系统会话,反之亦然。如果会话激活或停用具有 SYSTEM_USER 权限的角色,则常规会话和系统会话之间的适当更改会立即发生,仅适用于该会话:

  • 如果常规会话激活具有 SYSTEM_USER 权限的角色,则该会话将成为系统会话。
  • 如果系统会话停用具有 SYSTEM_USER 权限的角色,则该会话将成为常规会话,除非具有 SYSTEM_USER 权限的某个其他角色保持活动状态。

这些操作对现有会话没有影响:

  • 如果对帐户授予SYSTEM_USER权限或撤销该帐户的SYSTEM_USER权限,则该帐户的现有会话不会在常规会话和系统会话之间更改。授予或撤销操作只影响该帐户后续连接的会话。

因为角色激活只影响会话而不影响帐户,所以将具有SYSTEM_USER权限的角色授予普通帐户并不能保护该帐户不受普通用户的攻击。该角色仅保护已激活该角色的帐户的会话,并且仅保护会话不被常规会话终止。

保护系统帐户免受常规帐户的操作

帐户操作包括创建和删除帐户、授予和撤销权限、更改帐户身份验证特征(如凭据或身份验证插件)以及更改其他帐户特征。

帐户操作可以通过两种方式完成:

  • 通过使用帐户管理语句,例如 CREATE USERGRANT。这是首选方法。
  • 通过使用INSERTUPDATE等语句直接授权表修改。不建议使用这种方法

要完全保护系统帐户免受给定帐户的修改,请将其设置为常规帐户,并且不要为其授予 mysql schema修改权限:

  • 使用帐户管理语句操作系统帐户需要SYSTEM_USER权限。要防止帐户以这种方式修改系统帐户,可以将其设置为普通帐户,不授予SYSTEM_USER权限

  • mysql schema的权限允许通过直接修改授予表来操作系统帐户,即使修改帐户是一个普通帐户。为了限制普通帐户对系统帐户未经授权的直接修改,不要将mysql schema的修改权限授予该帐户(或授予该帐户的任何角色)。如果一个普通帐户必须拥有适用于所有schema的全局权限,mysql schema修改可以通过使用部分撤销的权限限制来阻止。

假设您希望创建一个用户u1,该用户拥有所有schemas上的所有权限,但u1应该是一个普通用户,不能修改系统帐户。假设启用了partial_revokes系统变量,配置u1如下:

CREATE USER u1 IDENTIFIED BY 'password';

GRANT ALL ON *.* TO u1 WITH GRANT OPTION;
-- GRANT ALL includes SYSTEM_USER, so at this point
-- u1 can manipulate system or regular accounts

REVOKE SYSTEM_USER ON *.* FROM u1;
-- Revoking SYSTEM_USER makes u1 a regular user;
-- now u1 can use account-management statements
-- to manipulate only regular accounts

REVOKE ALL ON mysql.* FROM u1;
-- This partial revoke prevents u1 from directly
-- modifying grant tables to manipulate accounts

要防止某个帐户访问所有 mysql 的schema,请撤销其对 mysql 的schema的所有权限,如刚才所示。也可以允许部分 mysql 的schema被访问,例如只读访问。以下示例创建一个帐户,该帐户对所有schema具有全局 SELECT、INSERT、UPDATEDELET权限,但对 mysql 的schema仅具有 SELECT 权限:

CREATE USER u2 IDENTIFIED BY 'password';
GRANT SELECT, INSERT, UPDATE, DELETE ON *.* TO u2;
REVOKE INSERT, UPDATE, DELETE ON mysql.* FROM u2;

另一种可能性是撤销所有 mysql的schema的权限,但授予对特定 mysql 表或列的访问权限。

CREATE USER u3 IDENTIFIED BY 'password';
GRANT ALL ON *.* TO u3;
REVOKE ALL ON mysql.* FROM u3;
GRANT SELECT ON mysql.db TO u3;
GRANT SELECT(Host,User) ON mysql.user TO u3;
MySQL8安全指南账号控制账户管理
李玉志的博客
07-23 1868
账号控制账户管理 账户用户名和密码 MySQL账户存储在mysql系统数据库中的user表中。 账户还可能具有身份验证凭据,例如密码。凭据由帐户身份验证插件处理,MySQL支持多种认证插件。其中一些使用内部认证方法,而另一些使用外部认证方法来启用认证。更多信息请查看 Pluggable Authentication. MySQL用户和密码的使用操作系统用户和密码的使用有几个区别: 用于MySQL身份认证的账户登录Windows或者Unix系统的用户名无关。在 Unix 上,默认情况下,大多数 M
MySQL8安全指南账号控制账户管理:权限表
李玉志的博客
07-30 1711
文章目录账号控制账户管理权限表授予表概述用户和数据库授权表table_priv 和 columns_priv 授权表procs_priv 授权表proxies_priv 授权表global_grants 授权表default_roles 授权表password_history 授权表授权表范围列属性授权表权限列属性授予表并发指定账户名称 账号控制账户管理 权限表 mysql数据库中包含了一些权限表,这些表包含了有关用户账户以及其拥有的权限信息。本节将描述这些表。关于系统数据库中其他表的信息,请参见The
MySQL8.0账户system_user权限,你了解吗?
杨建荣的学习笔记
07-03 3054
公众号:DBA随笔MySQL8.0账户system_user权限,你了解吗?01MySQL system_user权限介绍 MySQL8.0.16版本开始,MySQL利用system_user权限来区分普通用户和系统用户。具体表现是:1、拥有system_user权限的账号,是系统账号2、没有system_user权限的账号,是普通账号系统账号可以修改系统账...
01 MySQL 8:数据库账户管理
Eyesmoon的博客
03-23 3119
01 MySQL 8:数据库账户管理
Mysql 错误1227 Access Denied; you need the PROCESS(SYSTEM_USER) privilege(s) 问题解决
12-13 3844
Mysql 错误1227 Access Denied; you need the PROCESS(SYSTEM_USER) privilege(s) 问题解决
MySQL数据库账号划分及权限
上帝之手&传奇 - MartinLee
03-25 4470
一,针对数据库管理和使用人员做了系统权限和权限控制访问策略。 所有的数据系统登陆,由堡垒机,必须通过4A账号登陆。目前登陆方式有三种,1.主机登陆,2.数据评审端登录(archery等),3.程序直连登陆。 1.1,主机登录,主要针对数据系统管理维护人员,通过切换至对应的数据账号下执行操作,此类操作界面只能有数据库维护人员可以登陆,非数据库维护人员禁止使用(没有权限)此界面。 1.2, 业务开发测试人员,对生产数据系统有对应需求时,通过实名制登录archery数据评审平台后,在根据对应的服务类只读用户进行数
MySQL】——用户和权限管理(一)
shsjssnn的博客
04-28 3024
🎯用户权限 🎃user表 🎃bd表 🎃 tables_priv表和columns_priv表 🎃procs_priv表 🎃访问控制过程 🎯用户管理 🎃添加普通用户 🎃普通用户修改自己的密码 🎃root用户修改自己的密码和普通用户的密码 🎃root用户修改自己的密码和普通用户的密码 🎃修改用户名 🎃删除普通用户 🎯 MySQL 8root用户密码丢失的解决办法
MySQL8安全指南账号控制账户管理:指定账户名称
李玉志的博客
07-30 546
文章目录账号控制账户管理指定账户名称 账号控制账户管理 指定账户名称 MySQL帐户名由一个用户名和一个主机名组成,可以为从不同主机连接的具有相同用户名的用户创建不同的帐户。本节介绍帐户名的语法,包括特殊值和通配符规则。 在大多数方面,帐户名称 MySQL 角色名称相似,但在Specifying Role Name中的描述了一些差异。 帐户名称出现在 CREATE USER、GRANT 和 SET PASSWORD 等 SQL 语句中,并遵循以下规则: 帐户名称语法是'user_name'@'ho
MySQL8安全指南账号控制账户管理:使用角色
李玉志的博客
07-30 1319
文章目录使用角色创建角色并为其授予权限定义强制性角色检查角色权限激活角色撤销角色或角色权限删除角色 使用角色 MySQL 角色是一个命名的权限集合。用户帐户一样,角色也可以被授予或撤消权限。 用户帐户可以被授予角色,角色将授予帐户每个角色关联的权限。这允许将一组权限分配给帐户,并提供了授予单独权限的方便替代方案。 以下列表总结了 MySQL 提供的角色管理功能: CREATE ROLE 和 DROP ROLE 创建和删除角色。 GRANT 和 REVOKE 为账户和角色分配权限和撤销权限 S
mysql8创建用户并授权_MySQL8.0下撤销权限报错ERROR1227 : SYSTEM_USER privilege(s)
weixin_39625747的博客
12-01 1171
概述今天主要从一个问题来看mysql8的一个新特性:system_user..一、问题现象1、赋予新用户所有权限(all privileges)grant all privileges on *.* to 'hwb'@'%' with grant option;2、撤销用户所有权限(all privileges)授权后发现权限过大,要撤销时报错:ERROR 1227 (42000): Acces...
深入解析MySQL 8中的角色用户管理
todoitbo的博客
05-28 1万+
本文将深入探讨MySQL 8中的角色和用户管理功能。MySQL 8引入了角色(Role)的概念,使得权限管理变得更加灵活和高效。通过本文,读者将了解如何创建和管理用户,如何定义和分配角色,以及如何利用这些功能提升数据库的安全性和管理效率。具体示例将帮助读者在实际工作中应用这些知识。
mysql基础系列十一】用户权限管理
可乐要加冰
06-21 5283
用户权限管理:在不同的项目中给不同的角色(mysql客户端用户,通常为开发者)不同的权限,为了保证数据库的数据安全。 用户管理 mysql需要客户端进行连接认证才能进行服务器操作:需要用户信息。mysql中所有的用户(指mysql客户端用户)信息都是保存在mysql数据库下的user表中。该表采用复合主键(host + user)。 注意:\g 的作用是分号和在sql语句中写’;’是等效...
mysql账户分类_二十三、MySQL账户管理
weixin_29619665的博客
02-02 799
1、概述在生产环境下操作数据库时,绝对不可以使用root账户连接,而是创建特定的账户,授予这个账户特定的操作权限,然后连接进行操作,主要的操作就是数据的crud。MySQL账户体系:根据账户所具有的权限的不同,MySQL账户可以分为以下几种服务实例级账号:,启动了一个mysqld,即为一个数据库实例;如果某用户如root,拥有服务实例级分配的权限,那么该账号就可以删除所有的数据库、连同这些库中的...
MySQL8-root用户-提示“1227 - Access denied”解决办法
热门推荐
大山的博客
06-21 2万+
MySQL8-root用户-提示“1227 - Access denied”解决办法 问题:在使用MySQL时提示 1227 - Access denied; you need (at least one of) the SYSTEM_USER privilege(s) for this operation 缘由: 原因是MySQL8版本中新增了一个system_user帐户类型,但是由于root用户没有SYSTEM_USER权限,所以出现问题,把权限加入后即可解决 解决办法: 对没有权限的用户授
mysql 8.0远程连接_MySQL8.0远程连接和用户授权相关设置
weixin_35034536的博客
01-18 2941
1、开启MySQL远程连接mysql -u root -p #进入MySQL数据库后进行一下操作。mysql> use mysql;mysql> update user set user.Host=’%’ where user.User=‘root’;mysql> flush privileges;注:将Host设置为‘%’表示任意IP都能连接MySQL,也可以将‘%’改为指定i...
MySQL8.0权限改动
m0_45176278的博客
09-03 2765
MySQL8.0权限改动
MySQL 8.0.16新特性:SYSTEM_USER动态权限(英译中文)
weixin_33701251的博客
05-25 2868
文本使用翻译工具协助翻译,存在明显机翻味,同时加入了我的一些实际操作见解。   翻译这篇文章,源于我在最新(8.0.16)版本的MySQL使用root用户创建用户并授予所有(all)权限后,出现无法通过revoke all撤销新建用户的所有权限,后在官网得知这是8.0.16新出的一个权限,又由于本人捉急的英语水平和直接用翻译页面的错误翻译,于是尝试手动调整翻译内容,便于理解,便有了本文,欢迎大...
MySQL8.0下给新建用户赋予 all privileges所有权限,然后撤销报错ERROR1227 : SYSTEM_USER privilege(s) for this operation
晓康的博客
06-18 1万+
赋予新用户所有权限(all privileges) mysql> grant all privileges on *.* to 'xiaokang'@'%' with grant option; Query OK, 0 rows affected (0.09 sec) 然后撤销用户所有权限(all privileges) mysql> REVOKE all privilege...
mysql中sys用户_sys和system用户的权限区别
weixin_39840635的博客
01-21 1509
normal 、sysdba、 sysoper有什么区别normal 是普通用户另外两个,你考察他们所具有的权限就知道了sysdba拥有最高的系统权限,登陆后是 syssysoper主要用来启动、关闭数据库,sysoper 登陆后用户是 publicsysdba和sysoper属于system privilege,也称为administrative privilege,拥有例如数据库开启关闭之类一...
MySQL 数据库 User表权限以及用户授权详解
梦凝哲雪
03-03 1万+
136    0 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值