mysql数据库帐户_MySQL数据库用户帐号管理基础知识详解
MySQL管理員應該知道怎樣通過指定哪些用戶可連接到服務器、從哪里進行連接,以及在連接 時做什么,來設置MySQL用戶賬號。MySQL3.22.11引入了兩個更容易進行這項工作的語句:GRANT 語句創建MySQL用戶并指定其權限,REVOKE 語句刪除權限。這兩個語句充當mysql數據庫中的授權表的前端,并提供直接操縱這些表內容的可選擇的方法。GRANT 和REVOKE 語句影響以下四個表:
授權表 內容
user 可連接到服務器的用戶和他們擁有的任何全局特權
db 數據庫級的特權
tables_priv 表級特權
columns_priv 列級特權
還有第五個授權表( host),但它不受GRANT 或REVOKE的影響。
當您為某個用戶發布GRANT 語句時,應在user表中為該用戶創建一個項。如果該語句指定了所有全局特權(管理權限或用于所有數據庫的權限),則這些指定也被記錄在user表中。如 果指定了數據庫、表或列的權限,它們將記錄在db、tables_priv 和columns_priv表中。
使用GRANT 和REVOKE語句比直接修改授權表更容易。但是,建議您最好通過閱讀第12章來補充本章的內容,第12章中詳細討論了授權表。這些表非常重要,作為一位管理員應該了解這些表是怎樣在GRANT 和REVOKE 語句級上工作的。
本節下面的部分將討論如何設置MySQL用戶的賬號和授權,還將介紹如何取消權限以及從授權表中刪除全部用戶,并且將考慮一個困擾許多新的MySQL管理員的難題。
您還要考慮使用mysqlaccess 和mysql_setpermission 腳本,它們是MySQL分發包的組成部分。這些是Perl 的腳本,它們提供了設置用戶賬號的GRANT 語句的代用品。mysql_setpermission 需要具有DBI 的支持環境。
創建新用戶和授權
GRANT 語句的語法如下:
GRANT privileges (columns)
ON what
TO user IDENTIFIEDBY "password"
WITH GRANT OPTION
要使用該語句,需要填寫以下部分:
privileges 分配給用戶的權限。下表列出了可在GRANT 語句中使用的權限說明符:
權限說明符權限允許的操作
上表顯示的第一組權限說明符適用于數據庫、表和列。第二組說明符是管理特權。通常, 這些權限的授予相當保守,因為它們會影響服務器的操作(例如, SHUTDOWN 特權不是按每天來分發的權限)。第三組說明符是特殊的。ALL的意思是“所有的權限”,而USAGE 的意思是“無權限”─即創建用戶,但不授予任何的權限。
columns 權限適用的列。這是可選的,只來設置列專有的權限。如果命名多于一個列,則用逗號分開。
what 權限應用的級別。權限可以是全局的(適用于所有數據庫和所有的表)、數據庫專有的(適用于某個數據庫中的所有表),或表專有的。可以通過指定一個C O L U M N S子句將權限授予特定的列。
user 使用權限的用戶。它由用戶名和主機名組成。在MySQL中,不僅指定誰進行連接,還要指定從哪里連接。它允許您擁有兩個帶有相同名字的、從不同位置連接的用戶。MySQL允許在它們之間進行區別并相互獨立地分配權限。
MySQL的用戶名就是您在連接到服務器時指定的名字。該名字與您的UNIX 注冊名或Windows 名的沒有必然連系。缺省設置時,客戶機程序將使用您注冊的名字作為MySQL的用戶名(如果您不明確指定一個名字的話),但這只是一個約定。有關將 root作為可以操作一切MySQL的超級用戶名也是這樣,就是一種約定。您也可以在授權表中將此名修改成nobody,然后作為nobody 用戶進行連接,以執行需要超級用戶特權的操作。
password 分配給該用戶的口令。這是可選的。如果您不給新用戶指定IDENTIFIEDBY子句,該用戶不分配口令(是非安全的)。對于已有的用戶,任何指定的口令 將替代舊口令。如果不指定新口令,用戶的舊口令仍然保持不變。當您確實要使用IDENTIFIEDBY 時,該口令串應該是直接量,GRANT 將對口令進行編碼。當用SET PASSWORD語句時,不要使用PASSWORD() 函數。
WITH GRANT OPTION 子句是可選的。如果包含該子句,該用戶可以將GRANT 語句授予的任何權限授予其他的用戶。可以使用該子句將授權的能力授予其他的用戶。
用戶名、口令以及數據庫和表的名稱在授權表項中是區分大小寫的,而主機名和列名則不是。
通過查詢某些問題,通常可以推斷出所需的GRANT 語句的類型:
誰可以進行連接,從哪里連接?
用戶應具有什么級別的權限,這些權限適用于什么?
允許用戶管理權限嗎?
讓我們來提問這些問題,同時看一些利用GRANT 語句設置MySQL用戶賬號的例子。
1. 誰可以進行連接,從哪里連接。
您可以允許用戶在特定的主機或涉及范圍很寬的一組主機中進行連接。在一個極端,如果知道用戶將僅從那個主機中進行連接,則可限定對單個主機的訪問:
GRANT ALL ON samp_db.* TO boris@localhost IDENTFIEDBY "ruby"
GRANT ALL ON samp_db.* TO fred@ares.mars.net IDENTFIEDBY "quartz"
(符號samp_db.* 含義是“在samp_db 數據庫中的所有表”)在另一個極端,您可能會有一個用戶max,他周游世界并需要能夠從世界各地的主機中進行連接。在這種情況下,無論他從哪里連接您都將允許:
GRANT ALL ON samp_db.* TO max@% IDENTFIEDBY "diamond"
‘%’字符起通配符的作用,與LIKE模式匹配的含義相同,在上個語句中,它的意思是“任何主機”。如果您根本不給出主機名部分,則它與指定“ %”的含義相同。因此,max和max@%是等價的。這是設置一個用戶最容易的方法,但安全性最小。
要想采取妥協的辦法,可允許用戶在一組有限的主機中進行連接。例如,要使mary 從snake.net 域的任何主機中進行連接,可使用%.snake.net 主機說明符:
GRANT ALL ON samp_db.* TO mary@%.snake.net IDENTFIEDBY "topaz"
該用戶標識符的主機部分可用IP 地址而不是主機名給出(如果愿意的話)。可以指定一個直接的IP 地址或包含模式字符的地址。同樣,自MySQL3.23 起,可以用一個網絡掩碼來指定IP 號,網絡掩碼表明了用于該網絡號的二進制位數:
GRANT ALL ON samp_db.* TO joe@192.168.0.3 IDENTIFIEDBY "water"
GRANT ALL ON samp_db.* TO ardis@192.168.128.% IDENTIFIEDBY "snow"
GRANT ALL ON samp_db.* TO rex@192.168.128.0/17 IDENTIFIEDBY "ice"
第一條語句指明用戶可進行連接的特定的主機。第二條語句指定129.168.128 Class C 子網的IP 模式。在第三條語句中, 192.168.128.0/17 指定一個17 位二進制的網絡號,并將任何主機與其IP 地址的前17 個二進制位中的192.168.128.0/17 進行匹配。
如果MySQL抱怨您指定的用戶值,則可能需要使用引號(但對用戶名和主機名分別加引號):
GRANT ALL ON samp_db.president TO "my friend"@"boa.snake.net"
2. 用戶應具有什么級別的權限,這些權限適用于什么。
您可授予不同級別的權限。全局權限的功能最強,因為它們適用于任何數據庫。為了使ethel 成為可以進行一切操作的超級用戶(其中包括可以對其他用戶授權),發布下列語句:
GRANT ALL ON *.* TO ethel@localhost IDENTIFIEDBY "coffee"
WITH GRANT OPTION
ON 子句中*.* 說明符的意思是“所有數據庫,所有的表”,為保險起見,我們已經指定ethel 只能從本地主機中連接。限制超級用戶從哪些主機上進行連接通常是明智的做法,因為它限制住了其他用戶對口令進行試探。
有些權限(FILE、PROCESS、RELOAD 和SHUTDOWN)是管理權限,只能用NO *.* 全局權限說明符來授予。如果希望的話,也可以不用授予數據庫級的權限來授予這些權限。例如,下列語句建立了一個flush 用戶,它除了發布FLUSH語句外不做其他任何事情。在管理腳本中這可能是有用的,因為需要在這些腳本中執行諸如在日志文件循環期間刷新日志的操作:
GRANT RELOAD ON *.* TO flush@localhost IDENTIFIEDBY "flushpass"
通常授予管理權限應該是保守的,因為具有這些權限的用戶可能影響服務器的操作。
總結
以上是生活随笔為你收集整理的mysql数据库帐户_MySQL数据库用户帐号管理基础知识详解的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: mysql5.6 函数索引_聊聊MySQ
- 下一篇: 使用命令创建mysql_用命令创建MyS