文档章节

《mysql性能调优与架构设计》笔记:三mysql 安全管理

drewin
 drewin
发布于 2015/09/21 22:03
字数 1305
阅读 195
收藏 25

4.1数据库系统安全相关因素

        1,外围网络

        2,主机:

        3,数据库本身

            访问授权相关模块主要是由两部分组成:

                一个是基本的用户管理模块:主要负责用户登录链接相关的基本权限控制

                另外一个是访问授权控制模块:随时随地检查已经进门的访问者,校验他们是否 有访问所发出请求需要访问的数据的权限。通过校验者可顺利拿到数据,而未通过校验的访问者,只能收到“访问越权了”的相关反馈。

            三道防线图:

            

        4,代码:sql注入--危害很大,防不胜防

    4.2权限系统简介

        4.2.1,相关权限信息主要存储在几个被称为grant tables的系统表中。mysql.user,mysql.db,mysql.Host,mysql.table_priv,mysql.column_priv由于权限表数据量比较小,而且访问非常频繁,所以mysql在启动的时候就会将所有的权限信息Load到内存中,所以当我们手动修改权限后要执行FLUSH PRIVILEGES命令来重新加载mysql的权限信息。如果用GRANT,REVOKE,DROP USER不需要执行FLUSH PRIVILEGES,这个几个命令在修改表的时候,内存也进行了修改。CREATE USER来添加用户,注意新添加的用户仅有初始user权限,通过CREATE USER 命令也会更新内存。推荐使用GRANT,REVOKE,DROP USER,CREATE USER进行权限控制。

                5.6以上不包含5.6               5.6以上包含5.6   

            

        4.2.2,权限授予与去除:

            GRANT  授权

            REVOKE 撤回权限

            更新 GRANT TABLES系列表的。

            给用户授权的时候,不仅需要指定用户名,还需要指定来访主机。如果仅仅指定用户名,则mysql则会认为是:'username'@'%'授权,要去除用户权限,同样也要指定来访主机。

            查看某个用户权限:"SHOW GRANTS FOR 'username'@'hostname';    查询 grant tables 系列表里的权限信息

        4.2.3,权限级别:MySQL 中的权限分为五个级别

            1,Global Level:全局控制权限,所有权限信息都保存在mysql.user表中

                作用域:所有权限是针对整个mysqld的,对于数据库下的所有表及所有字段都有效。

            2,Global Level主要有如下权限:

                

            3,要授予Global Level的权限,则只需要在执行GRANT命令的时候,用*.*来指定适用范围是Global即可,当有多个权限需要授予的时候,也并不需要多次授权,只需要将所有需要的权限通过逗号(,)隔开即可:例如:

            GRANT SELECT,UPDATE,DELETE,INSERT ON *.* TO 'username'@'localhost';

            4,Database Level

                在Global Level之下,其他三个level之上

                作用域:指定数据库下的所有对象

                权限设置:与Global Level比,少了一下几个权限:CREATE USER,FILE,PROCESS,RELOAD,REPLICATION CLIENT,REPLICATION SLAVE,SHOW DATABASES,SHUTDOWN,SUPER,USEAGE,没有增加任何权限

                实现方式:两种:

                    1,GRANT ALTER ON test.* to 'username'@'localhost';

                    2,USE DATABASENAME

                         GRANT DROP ON * TO 'username'@'locahost';

                    3,在授权的时候,如果授予多个用户相同的权限,则可以授权多个用户

                        GRANT CREATE ON test.* TO 'username1'@'localhost,'username2'@'localhost'

                        show grants form username@localhost

            5,Table Level

                   作用域:低于Global Level,Database Level,高于Column Level,Routine Level

                   实现:GRANT INDEX ON test.t1 TO 'USERNAME'@'LOCALHSOT';

                   权限设置:ALTER,CREATE,DELETE,DROP,INDEX,INSERT,SELECT,UPDATE

            6,Column Level:

                    作用域:低于Global,Database,Table level ,高于Routine Level

                    实现:GRANT select(id,value) on test.t2 to 'ab'@'localhsot';

                    注意:当某个用户在向某个表插入(INSERT)数据的时候,如果该用户在某个列上没有INSERT权限,则该列的数据将插入默认值填充

            7,Routeine Level:

                作用域:低于其他4中级别

                权限设置:EXECUTE,ALTER ROUTINE两种

                实现:GRANT EXECUTE ON test.p1 to 'username'@'localhost';

            8,grant 权限:

                拥有grant权限的用户,可以将自身所拥有的权限授权给其他用户,通常加上:WITH GRANT OPTION字句达到授权的目的。

            9,我们可以通过GRANT ALL 语句授予某个Level的所有可用权限给某个用户:

                grant all on test.t4 to 'abc';

            注意:上面的五个权限中:Table,Column,Routine三者在授权的时候有所依赖的对象必须是存在的,而不像DATABASE level,可以在当前数据库不存在的时候完成授权

        4.2.4访问控制实现原理:

            1,组成:

                    用户管理模块:是否存在某个用户

                        主要就是:user表中的host,username,password这三项

                    访问控制模块:监控来访者每个动作

                        所有授权用户都存放在mysql.user表中

                    说明:用户管理模块决定造访者能否进门,访问控制模块则决定每个客人能那什么不能拿什么

           2,客户管理模块流程:

                    

            3,权限控制模块流程:详细解释:page45

                    select * from test.t4 where status='ss';

                    

                
        4.3mysql 访问授权策略:

            1,了解来访主机:'username'@'%'授予所有主机权限

            2,了解用户:只读,只写,备份,管理,访问特定数据库,表

            3,位工作分类

            4,确保绝对必要这拥有grant option权限


© 著作权归作者所有

共有 人打赏支持
drewin
粉丝 28
博文 121
码字总数 43979
作品 0
海淀
程序员
私信 提问
互联网技术栈 『Contents Catalog』

image.png 编程语言 Java书单——由入门到上天 UML-类间关系 Java解读-ThreadLocal详解与应用 并发编程-Concurrent用户指南 Java并发编程-原子性变量 Java 并发工具包-常用线程池 基于事件驱...

高广超
2017/11/03
0
0
求PHP,MYSQL,NGINX方面的配置与调优

求PHP,MYSQL,NGINX方面的配置与调优 1、PHP方面: PHP底层系统架构设计 WEB安全防范 常用设计模式 cache的使用 2、MYSQL方面: mysql性能优化配置, mysql数据库设计,索引 3、memcached,red...

不会武功的猪
2016/04/28
247
0
【上海】大型美资互联网公司招聘DBA(MYSQl)【猎头职位】

有意向的同学请把简历发送至poversky@live.jp,在title中注明投递职位。也可以通过 qq了解职位详情178350902。 大型美资互联网公司招聘DBA(MYSQl) 薪酬-年薪15 - 20w 职位描述: 1、支持和...

Caffrey
2012/03/23
290
3
linux+Oracle集群课程全面升级

作为国内最早从事开源架构师级课程研发的公司,从2006年10月开始,荣新稳步提升,将互联网运维作为主导就业方向,并将Linux集群架构课程发展成为国内最顶级、覆盖技术最全面的Linux课程,作为...

张琦
2018/06/26
0
0
后台开发常问面试题集锦(问题搬运工,附链接)

Java基础问题 String的’+’的性能及原理 java之yield(),sleep(),wait()区别详解-备忘笔记 深入理解Java Stream流水线 抽象 & abstract关键字 Java final 修饰符知识点总结(必看篇) Java中的...

大黄有故事
2017/11/18
0
0

没有更多内容

加载失败,请刷新页面

加载更多

数据库技术-Mysql主从复制与数据备份

数据库技术-Mysql 主从复制的原理: MySQL中数据复制的基础是二进制日志文件(binary log file)。一台MySQL数据库一旦启用二进制日志后,其作为master,它的数据库中所有操作都会以“事件”...

须臾之余
昨天
12
0
Git远程仓库——GitHub的使用(一)

Git远程仓库——GitHub的使用(一) 一 、 Git远程仓库 由于你的本地仓库和GitHub仓库之间的传输是通过SSH加密的,所以需要一下设置: 步骤一、 创建SSH key 在用户主目录下,看看有没有.ss...

lwenhao
昨天
2
0
SpringBoot 整合

springBoot 整合模板引擎 SpringBoot 整合Mybatis SpringBoot 整合redis SpringBoot 整合定时任务 SpringBoot 整合拦截器...

细节探索者
昨天
0
0
第二个JAVA应用

第二个JAVA应用 方法一:配置文件: # cd /usr/local/tomcat/conf/# vim server.xml</Host> <Host name="www.wangzb.cc" appBase="/data/wwwroot/www.wangzb.cc" //引用所......

wzb88
昨天
0
0
2019年阿里Java面试必问:JVM与性能优化+Redis+设计模式+分布式

前言 一年之计在于春 金三银四已经要到来,2019的新的开始,作为一个开发人员,你是否面上了自己理想的公司,薪资达到心中理想的高度? 面试:如果不准备充分的面试,完全是浪费时间,更是对...

火力全開
昨天
16
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部