MySQL 用户与权限管理详解:从角色解锁到安全加固
1. 角色的解锁
-
正确:角色默认被锁定,需通过
ALTER USER解锁。 -
示例:
ALTER USER 'read_only' ACCOUNT UNLOCK;
2. 系统权限说明
-
FILE:允许读写服务器文件(如
SELECT ... INTO OUTFILE)。 -
PROCESS:允许查看所有线程信息(如
SHOW PROCESSLIST)。 -
RELOAD:允许执行
FLUSH命令(如刷新权限表)。
3. WITH GRANT OPTION 和 WITH ADMIN OPTION
-
WITH GRANT OPTION:允许用户将自己拥有的权限授予他人。
-
WITH ADMIN OPTION:允许用户将自己拥有的角色授予他人。
4. 权限管理原则
-
口令与对象无关:密码仅用于身份验证,不绑定具体对象。
-
不能对表授权:权限需细化到数据库或全局级别。
-
不能明确拒绝访问:MySQL 不支持
DENY语句,只能通过不授权实现。
5. 授权表内容
| 表名 | 作用 |
|---|---|
user | 用户全局权限和角色 |
db | 数据库级权限 |
tables_priv | 表级权限(如 SELECT、INSERT) |
columns_priv | 列级权限 |
roles_edges | 角色之间的授予关系 |
6. 最少权限原则
-
定义:仅授予用户完成工作所需的最小权限。
-
示例:只读用户仅授予
SELECT权限,避免误删数据。
7. 防范网络安全风险
-
防火墙:限制 MySQL 端口(3306)的访问 IP。
-
SSL/TLS:加密数据传输。
-
安全配置:运行
mysql_secure_installation脚本。 -
定期审计:检查用户权限和异常查询。
8. SSL/TLS 协议
-
SSL:旧版加密协议,存在漏洞(如 Heartbleed)。
-
TLS:SSL 的升级版,更安全(推荐使用 TLS 1.2+)。
-
证书文件:
-
ca.pem:根证书。 -
server-cert.pem:服务器公钥证书。 -
server-key.pem:服务器私钥。
-
9. SSL 相关文件
-
ca.pem:根证书,验证服务器身份。
-
server-cert.pem:服务器证书,包含公钥。
-
server-key.pem:服务器私钥,用于解密数据。
-
client-cert.pem:客户端证书(双向认证时使用)。
-
client-key.pem:客户端私钥。
10. MySQL 企业防火墙
-
功能:防御 SQL 注入攻击。
-
原理:通过白名单仅允许预定义的 SQL 模式执行。
-
配置:使用企业版插件
mysql_firewall。
11. 稳定的系统定义
-
无计划外中断:服务器持续运行,无意外崩溃。
-
可预测性能:查询响应时间稳定,无剧烈波动。
-
快速故障恢复:如主从切换在秒级完成。