mysql 授权与回收权限_MySQL 操作命令梳理(4)-- grant授权和revoke回收权限
在mysql維護工作中,做好權限管理是一個很重要的環節。下面對mysql權限操作進行梳理:
mysql的權限命令是grant,權限撤銷的命令時revoke;
grant授權格式:grant 權限列表 on 庫.表 to 用戶名@'ip' identified by "密碼";
revoke回收權限格式:revoke 權限列表 on 庫.表 from 用戶名@'ip';
下面通過一些例子說明:
1.grant授權
1)grant 普通數據用戶,查詢、插入、更新、刪除 數據庫中所有表數據的權利。
mysql> grant all on *.* to wang@'192.168.1.150' identified by "password"; //all等同于all privilege,其中的privileges可以省略
mysql> grant all privileges on *.* to wang@'192.168.1.%' identified by "123456"; //192.168.1.%表示一個網段
mysql> grant insert,select,update,delete,drop,create,alter on huanqiu.* to wang@'%' identified by "123456";
mysql> flush privileges //授權之后,不要忘記更新權限表
2.查看權限
1)查看當前用戶下所有的權限
mysql> show grants;
+----------------------------------------------------------------------------------------------------------------------------------------+
| Grants for root@localhost |
+----------------------------------------------------------------------------------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' IDENTIFIED BY PASSWORD '*6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9' WITH GRANT OPTION |
| GRANT PROXY ON ''@'' TO 'root'@'localhost' WITH GRANT OPTION |
+----------------------------------------------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)
2)查看指定用戶下的所有權限
USAGE是默認的初始狀態,表示無任何權限!!
下面表示wang用戶在192.168.1.0/24網段登陸本機mysql后,對huanqiu庫下的所有表有insert,update,alter,delete,create,select的操作權限!
mysql> show grants for wang@'192.168.1.%'; //可以在select user,host,password from mysql.user執行結果中找對應的權限用戶信息
+---------------------------------------------------------------------------------------------------------------+
| Grants for wang@192.168.1.% |
+---------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'wang'@'192.168.1.%' IDENTIFIED BY PASSWORD '*678E2A46B8C71291A3915F92736C080819AD76DF' |
| GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER ON `huanqiu`.* TO 'wang'@'192.168.1.%' |
+---------------------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)
3.revoke撤銷權限
revoke跟grant語法差不多,只需要把關鍵字 “to” 換成 “from” 即可,并且revoke語句中不需要跟密碼設置。
注意:revoke可以回收所有權限,也可以回收部分權限。
mysql> revoke all on *.* from wang@'192.168.1.150';
mysql> revoke all privileges on *.* from wang@'192.168.1.%';
mysql> revoke insert,select,update,delete,drop,create,alter on huanqiu.* from wang@'%';
mysql> flush privileges
注意事項:
1)grant, revoke用戶權限后,該用戶只有重新連接MySQL數據庫,權限才能生效。
2)如果想讓授權的用戶,也可以將這些權限grant給其他用戶,那么授權時需添加選項 "grant option"!
如下設置后,那么這個wang用戶連接mysql后也可以將這些權限授予其他用戶。
mysql> grant insert,select,update,alter on huanqiu.* to wang@'%' identified by "123456" with grant option;
-------------------------------------------------------------------------------------------------------------------
mysql授權表一共涉及到5個表,分別是user、db、host、tables_priv和columns_priv。
這5張表的內容和用途如下:
1)user表
user表列出可以連接服務器的用戶及其口令,并且它指定他們有哪種全局(超級用戶)權限。在user表啟用的任何權限均是全局權限,并適用于所有數據庫。例如,如果你啟用了DELETE權限,在這里列出的用戶可以從任何表中刪除記錄,所以在你這樣做之前要認真考慮。
2)db表
db表列出數據庫,而用戶有權限訪問它們。在這里指定的權限適用于一個數據庫中的所有表。
3)host表
host表與db表結合使用在一個較好層次上控制特定主機對數據庫的訪問權限,這可能比單獨使用db好些。這個表不受GRANT和REVOKE語句的影響,所以,你可能發覺你根本不是用它。
4)tables_priv表
tables_priv表指定表級權限,在這里指定的一個權限適用于一個表的所有列。
5)columns_priv表
columns_priv表指定列級權限。這里指定的權限適用于一個表的特定列。
------------------------------------------------------------------------------------------------------------------
看下面一個實例:
給wang用戶授權的權限太大了,現在要收回部分權限,只留給wang用戶select和alter的權限。
mysql> show grants for wang@'192.168.1.%';
+---------------------------------------------------------------------------------------------------------------+
| Grants for wang@192.168.1.% |
+---------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'wang'@'192.168.1.%' IDENTIFIED BY PASSWORD '*678E2A46B8C71291A3915F92736C080819AD76DF' |
| GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER ON `huanqiu`.* TO 'wang'@'192.168.1.%' |
+---------------------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)
mysql> revoke insert,update,delete,create on huanqiu.* from wang@'192.168.1.%';
Query OK, 0 rows affected (0.00 sec)
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)
mysql> show grants for wang@'192.168.1.%';
+---------------------------------------------------------------------------------------------------------------+
| Grants for wang@192.168.1.% |
+---------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'wang'@'192.168.1.%' IDENTIFIED BY PASSWORD '*678E2A46B8C71291A3915F92736C080819AD76DF' |
| GRANT SELECT, ALTER ON `huanqiu`.* TO 'wang'@'192.168.1.%' |
+---------------------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)
發現revoke回收權限操作后,只剩下select和alter權限了。
revoke回收部分權限,剩下的權限的密碼保持不變。
這里特別注意下:
如果給一個用戶設置的權限過大,除了上面使用revoke回收部分權限外,還可以使用grant進行權限修改!
也就是說,grant不僅可以添加權限,也可以修改權限(實際上就是對同一'用戶名'@'ip'設置權限,以覆蓋之前的權限);
grant修改后的權限將覆蓋之前的權限!
那么問題來了:授權后的密碼是密文形式保存的,如果記不住之前授權時的密碼,那么怎樣保證覆蓋后的權限跟之前的權限一致?
莫慌!
grant授權操作中其實不僅可以設置明文密碼,也可以設置密文密碼,如下:
1)grant 權限列表 on 庫.表.* to 用戶名@'ip' identified by "明文密碼"
2)grant 權限列表 on 庫.表.* to 用戶名@'ip'identified by password "密文密碼"
也就是說:
在grant重置權限的時候可以用查看的密文密碼當做新的密碼,然后去覆蓋之前的權限,這就保證了修改前后的密碼一致!
如上的例子,采用grant的操作如下:
mysql> show grants for wang@'192.168.1.%';
+---------------------------------------------------------------------------------------------------------------+
| Grants for wang@192.168.1.% |
+---------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'wang'@'192.168.1.%' IDENTIFIED BY PASSWORD '*678E2A46B8C71291A3915F92736C080819AD76DF' |
| GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER ON `huanqiu`.* TO 'wang'@'192.168.1.%' |
+---------------------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)
mysql> grant alter,select on huanqiu.* to wang@'192.168.1.%' identified by password '*678E2A46B8C71291A3915F92736C080819AD76DF';
Query OK, 0 rows affected (0.00 sec)
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)
mysql> show grants for wang@'192.168.1.%';
+---------------------------------------------------------------------------------------------------------------+
| Grants for wang@192.168.1.% |
+---------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'wang'@'192.168.1.%' IDENTIFIED BY PASSWORD '*678E2A46B8C71291A3915F92736C080819AD76DF' |
| GRANT SELECT, ALTER ON `huanqiu`.* TO 'wang'@'192.168.1.%' |
+---------------------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)
通常開發同事在讓運維同事開通mysql權限時,他們會在自己本地mysql里生成一個密文密碼,然后把這個密文密碼給運維同事,運維同事在用這個密文密碼進行授權,
那么授權的密碼就只有開發同事自己知道了,其他人都不知道!比較安全的一種做法~
總結
以上是生活随笔為你收集整理的mysql 授权与回收权限_MySQL 操作命令梳理(4)-- grant授权和revoke回收权限的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: mitmproxy抓包 | Python
- 下一篇: python mysql in 参数_p