MYSQL数据库管理之权限管理

常常遇到有网友在QQ群或者论坛上问关于mysql权限的问题,今天抽空总结一下关于这几年使用MYSQL的时候关于MYSQL数据库的权限管理的经验,也但愿能对使用mysql的网友有所帮助!

1. MYSQL权限简介

关于mysql的权限简单的理解就是mysql容许你作你权利之内的事情,不能够越界。好比只容许你执行select操做，那么你就不能执行update操做。只容许你从某台机器上链接mysql，那么你就不能从除那台机器之外的其余机器链接mysql。

那么MYSQL的权限是如何实现的呢？这就要说到mysql的两阶段的验证，下面详细来介绍：第一阶段：服务器首先会检查你是否容许链接。由于建立用户的时候会加上主机限制，能够限制成本地、某个IP、某个IP段、以及任何地方等，只容许你从配置的指定地方登陆。后面在实战的时候会详细说关于主机的限制。第二阶段：若是你能链接，MYSQL会检查你发出的每一个请求，看你是否有足够的权限实施它。好比你要更新某个表、或者查询某个表，MYSQL会检查你对哪一个表或者某个列是否有权限。再好比，你要运行某个存储过程，MYSQL会检查你对存储过程是否有执行权限等。

MYSQL到底都有哪些权限呢？从官网复制一个表来看看：

权限	权限级别	权限说明
CREATE	数据库、表或索引	建立数据库、表或索引权限
DROP	数据库或表	删除数据库或表权限
GRANT OPTION	数据库、表或保存的程序	赋予权限选项
REFERENCES	数据库或表
ALTER	表	更改表，好比添加字段、索引等
DELETE	表	删除数据权限
INDEX	表	索引权限
INSERT	表	插入权限
SELECT	表	查询权限
UPDATE	表	更新权限
CREATE VIEW	视图	建立视图权限
SHOW VIEW	视图	查看视图权限
ALTER ROUTINE	存储过程	更改存储过程权限
CREATE ROUTINE	存储过程	建立存储过程权限
EXECUTE	存储过程	执行存储过程权限
FILE	服务器主机上的文件访问	文件访问权限
CREATE TEMPORARY TABLES	服务器管理	建立临时表权限
LOCK TABLES	服务器管理	锁表权限
CREATE USER	服务器管理	建立用户权限
PROCESS	服务器管理	查看进程权限
RELOAD	服务器管理	执行flush-hosts, flush-logs, flush-privileges, flush-status, flush-tables, flush-threads, refresh, reload等命令的权限
REPLICATION CLIENT	服务器管理	复制权限
REPLICATION SLAVE	服务器管理	复制权限
SHOW DATABASES	服务器管理	查看数据库权限
SHUTDOWN	服务器管理	关闭数据库权限
SUPER	服务器管理	执行kill线程权限

MYSQL的权限如何分布，就是针对表能够设置什么权限，针对列能够设置什么权限等等，这个能够从官方文档中的一个表来讲明：

权限分布	可能的设置的权限
表权限	'Select', 'Insert', 'Update', 'Delete', 'Create', 'Drop', 'Grant', 'References', 'Index', 'Alter'
列权限	'Select', 'Insert', 'Update', 'References'
过程权限	'Execute', 'Alter Routine', 'Grant'

针对权限这部分，最主要的是要知道MYSQL是如何验证的（两阶段验证），以及mysql各个权限是作什么用的，以及那些权限用在什么地方(表or列？)。若是这些把握了那么MYSQL权限对你来讲就是小菜一碟了，只要看一下后面的权限管理就能够融会贯通了。

1. MYSQL权限经验原则

权限控制主要是出于安全因素，所以须要遵循一下几个经验原则：

1. 只授予能知足须要的最小权限，防止用户干坏事。哈哈。好比用户只是须要查询，那就只给select权限就能够了，不要给用户赋予update、insert或者delete权限。

2. 建立用户的时候限制用户的登陆主机，通常是限制成指定IP或者内网IP段。

3. 初始化数据库的时候删除没有密码的用户。安装完数据库的时候会自动建立一些用户，这些用户默认没有密码。

4. 为每一个用户设置知足密码复杂度的密码。

5. 按期清理不须要的用户。回收权限或者删除用户。

1. MYSQL权限实战

2. 1.  GRANT命令使用说明

先来看一个例子，建立一个只容许从本地登陆的超级用户feihong，并容许将权限赋予别的用户，密码为test@feihong.111

GRANT ALL PRIVILEGES ON *.* TO feihong@'localhost' IDENTIFIED BY 'test@feihong.111' WITH GRANT OPTION;

GRANT命令说明：

ALL PRIVILEGES 是表示全部权限，你也可使用select、update等权限提到的权限。

ON 用来指定权限针对哪些库和表。

*.* 中前面的*号用来指定数据库名，后面的*号用来指定表名。

TO 表示将权限赋予某个用户。

feihong@'localhost' 表示feihong用户，@后面接限制的主机，能够是IP、IP段、域名以及%，%表示任何地方。注意：这里%有的版本不包括本地，之前碰到过给某个用户设置了%容许任何地方登陆，可是在本地登陆不了，这个和版本有关系，遇到这个问题再加一个localhost的用户就能够了。

IDENTIFIED BY 指定用户的登陆密码。

WITH GRANT OPTION 这个选项表示该用户能够将本身拥有的权限受权给别人。注意：常常有人在建立操做用户的时候不指定WITH GRANT OPTION选项致使后来该用户不能使用GRANT命令建立用户或者给其余用户受权。

备注：可使用GRANT重复给用户添加权限，权限叠加，好比你先给用户添加了一个select权限，而后又给用户添加了一个insert权限，那么该用户就同时拥有了select和insert权限。

1. 建立一个超级用户

建立一个只容许从本地登陆的超级用户feihong，并容许将权限赋予别的用户，密码为test@feihong.111

GRANT ALL PRIVILEGES ON *.* TO feihong@'localhost' IDENTIFIED BY 'test@feihong.111' WITH GRANT OPTION;

1. 建立一个网站用户(程序用户)

建立一个通常的程序用户，这个用户可能只须要SELECT, INSERT, UPDATE, DELETE, CREATE TEMPORARY TABLES等权限若是有存储过程还须要加上EXECUTE权限，通常是指定内网网段192.168.100网段。

GRANT  USAGE,SELECT, INSERT, UPDATE, DELETE, SHOW VIEW ,CREATE TEMPORARY TABLES,EXECUTE ON `test`.* TO webuser@'192.168.100.%' IDENTIFIED BY  'test@feihong.111';

1. 建立一个普通用户(仅有查询权限)

GRANT USAGE,SELECT ON `test`.* TO public@'192.168.100.%' IDENTIFIED BY  'public@feihong.111';

1. 刷新权限

使用这个命令使权限生效，尤为是你对那些权限表user、db、host等作了update或者delete更新的时候。之前遇到过使用grant后权限没有更新的状况，你们能够养成习惯，只要对权限作了更改就使用FLUSH PRIVILEGES命令来刷新权限。

FLUSH PRIVILEGES;

1. 查看权限

使用以下命令能够方便的查看到某个用户的权限：

SHOW GRANTS FOR 'webuser'@'192.168.100.%';

1. 回收权限

将前面建立的webuser用户的DELETE权限回收，使用以下命令

REVOKE DELETE ON test.* FROM 'webuser'@'192.168.100.%';

1. 删除用户

注意删除用户不要使用DELETE直接删除，由于使用DELETE删除后用户的权限并未删除，新建同名用户后又会继承之前的权限。正确的作法是使用DROP USER命令删除用户，好比要删除'webuser'@'192.168.100.%'用户采用以下命令：

DROP USER 'webuser'@'192.168.100.%';

你们能够采用percona-toolkit工具中的pt-show-grants工具来辅助管理mysql权限。具体使用见博文http://blog.chinaunix.net/uid-20639775-id-3207926.html