Linux操作系統(tǒng)安全配置 課件 項目8　MySQL服務(wù)安全配置

單擊此處編輯母版標(biāo)題樣式

MySQL權(quán)限管理學(xué)習(xí)內(nèi)容企業(yè)需求0102MySQL概述03MySQL實用程序04總結(jié)

企業(yè)需求1某學(xué)校需要在Linux平臺上架設(shè)基于MySQL的學(xué)生選課數(shù)據(jù)庫，root管理員授予andrew可以從任何位置連接數(shù)據(jù)庫服務(wù)器，對stuscore具有完全訪問權(quán)限，用于對數(shù)據(jù)stuscore的日常維護(hù)。根據(jù)業(yè)務(wù)需要，用戶andrew將自己的權(quán)限授予shiny，但僅限于在IP：192.168.8.110上登錄對stuscore數(shù)據(jù)庫執(zhí)行查詢語句。

企業(yè)需求1MySQL網(wǎng)絡(luò)拓?fù)?/p>

MySQL實用程序3MySQL安裝完成后，可以在/usr/bin路徑下找到MySQL實用程序，通過這些實用程序可以執(zhí)行MySQL數(shù)據(jù)庫的管理操作。

MySQL實用程序3程序名稱功能safe_mysqld腳本文件，用于以安全的方式啟動mysqld守護(hù)進(jìn)程，其安全包括：當(dāng)一個錯誤發(fā)生時，有能力重啟服務(wù)器并且將運行時的信息記錄到一個日志文件中mysql一個基于命令行的MySQL客戶端程序mysql_install_db用于以缺省權(quán)限創(chuàng)建MySQL權(quán)限表，該程序通常僅在系統(tǒng)上第一次安裝MySQL時執(zhí)行一次mysqladmin用于執(zhí)行數(shù)據(jù)庫的管理操作，如創(chuàng)建或刪除數(shù)據(jù)庫、加載授權(quán)表和停止MySQL服務(wù)等；也可以用于查看MySQL版本、進(jìn)程和狀態(tài)信息myisamchk用于描述、檢查、優(yōu)化和修復(fù)MySQL中的各個表，并可以顯示表的相關(guān)信息mysqlshow用于顯示數(shù)據(jù)庫、表、列和索引等信息mysqlaccess一個腳本，用于檢查對主機、用戶和數(shù)據(jù)庫組合的存取權(quán)限mysqlbugMySQL錯誤報告腳本，用于向MySQL郵件列表中添加錯誤報告mysqldump用于將MySQL數(shù)據(jù)庫中的數(shù)據(jù)導(dǎo)出到一個文本文件mysqlimport提供一個到SQL語句LOADDATAINFILE的命令行接口，通過LOADDATAINFILE命令，可以將文本文件導(dǎo)入到數(shù)據(jù)庫中make_binary_release用于制作一個編譯MySQL的二進(jìn)制版本msql2mysql一個外殼腳本，用于轉(zhuǎn)換mSQL程序到MySQLreplace一個實用程序，由msql2mysql使用

MySQL實用程序3客戶端程序mysql通常會使用不同的提示符來代表其當(dāng)前所處的不同狀態(tài)。mysql可能出現(xiàn)的提示符及其所代表的狀態(tài)。提示符當(dāng)前所處的狀態(tài)mysql>準(zhǔn)備好接受新命令->等待多行命令的下一行‘>表明一個以單引號(“'”)開始的字符串尚未以單引號結(jié)束，等待下一行匹配開始的單引號“>表明一個以雙引號(“””)開始的字符串尚未以雙引號結(jié)束，等待下一行匹配開始的雙引號總結(jié)4MySQL應(yīng)用場景MySQL實用程序單擊此處編輯母版標(biāo)題樣式

MySQL權(quán)限管理學(xué)習(xí)內(nèi)容MySQL用戶權(quán)限管理0102MySQL數(shù)據(jù)庫備份與還原03總結(jié)

MySQL用戶權(quán)限1MySQL中提供了一套非常實用的權(quán)限系統(tǒng)，用于管理和控制某個用戶使用其所提供自主機名、用戶名和密碼能否連接到指定的數(shù)據(jù)庫服務(wù)器、能否打開所需數(shù)據(jù)庫以及能否叉數(shù)據(jù)進(jìn)行讀?。╯elect）、添加（insert）、修改（update）和刪除（delete）等操作。

MySQL用戶權(quán)限1（1）系統(tǒng)數(shù)據(jù)庫mysqlMySQL內(nèi)置了一個系統(tǒng)數(shù)據(jù)庫mysql，其中包含存放著權(quán)限系統(tǒng)所需要的數(shù)據(jù)的授權(quán)表。當(dāng)MySQL服務(wù)器啟動時，會首先讀取系統(tǒng)數(shù)據(jù)庫mysql中的授權(quán)表，并將表中相關(guān)的數(shù)據(jù)裝入內(nèi)存；當(dāng)用戶連接數(shù)據(jù)庫服務(wù)器并對數(shù)據(jù)庫進(jìn)行存取操作時，MySQL會根據(jù)這些表中的數(shù)據(jù)做相應(yīng)的權(quán)限控制。因此，在設(shè)置用戶的存取權(quán)限時，必然要對mysql數(shù)據(jù)庫中有關(guān)的表進(jìn)行修改。

MySQL用戶權(quán)限1（1）系統(tǒng)數(shù)據(jù)庫mysqlmysql數(shù)據(jù)庫中用于權(quán)限系統(tǒng)的授權(quán)表主要包括user、db、host、tablespriv和columns_priv。我們可以啟用客戶端程序mysql，執(zhí)行showtables命令進(jìn)行查看，并使用describe命令列出上述各個表的結(jié)構(gòu)。為了方便說明，表8-4和8-5列出了授權(quán)表中的字段名稱。

MySQL用戶權(quán)限1（1）系統(tǒng)數(shù)據(jù)庫mysql表名稱userdbhost字段類型范圍字段HostHostHostchar(60)DbDbchar(64)UserUserchar(16)Passwordchar(16)權(quán)限字段Select_privSelect_privSelect_privenum(‘N’,’Y’)Insert_privInsert_privInsert_privenum(‘N’,’Y’)Update_privUpdate-privUpdate_privenum(‘N’,’Y’)Delete_privDelete-privDelete_privenum(‘N’,’Y’)Index_privIndex_privIndex_privenum(‘N’,’Y’)Alter_privAlter_privAlter_privenum(‘N’,’Y’)Create_privCreate_privCreate-privenum(‘N’,’Y’)Drop_privDrop_privDrop_privenum(‘N’,’Y’)Grant_privGranLprivGrant_privenum(‘N’,’Y’)Reload_privenum(‘N’,’Y’)Shutdown_privenum(‘N’,’Y’)Process_privenum(‘N’,’Y’)File_privenum(‘N’,’Y’)

MySQL用戶權(quán)限1（1）系統(tǒng)數(shù)據(jù)庫mysql表名稱Tables_privcolumns_priv字段類型范圍字段HostHostchar(60)DbDbchar(64)UserUserchar(16)Table_nameTable_namechar(64)Column_namechar(64)權(quán)限字段Table_privset(‘Select’,’Insert’,’Update’,’Delete’,’Create’,’Drop’,’Grant’,’References’,’Index’,’Alter’)Column_privColumn_privset(‘Select’,’Insert’,’Update’,’References’)其他字段TimestampTimestamptimestamp(16)Grantorchar(77)

MySQL用戶權(quán)限1（2）MySQL數(shù)據(jù)庫權(quán)限權(quán)限字段名權(quán)限說明selectSelect_privSelect_priv讀取表中的數(shù)據(jù)insertInsert_priv向表中插入數(shù)據(jù)updateUpdate_priv更改表中的數(shù)據(jù)deleteDelete_prlv刪除表中的數(shù)據(jù)indexIndex_priv創(chuàng)建或刪除表的索引alterAlter_priv修改表的結(jié)構(gòu)createCreate_priv創(chuàng)建新的數(shù)據(jù)庫和表dropDrop_priv刪除現(xiàn)存的數(shù)據(jù)庫和表grantGrant_pnv將自己擁有的某些權(quán)限授予其他用戶fileFile_priv在數(shù)據(jù)庫服務(wù)器上讀取和寫入文件reloadReload_priv進(jìn)行一些系統(tǒng)的操作，該權(quán)限的擁有者可以執(zhí)行的命令有：reload、refresh、flush-privileges、flush-hosts、flush-tables。其中reload命令用于重新載入授權(quán)表，refresh命令用于清洗所有表并打開和關(guān)閉日志文件，flush-privileges與reload功能相同，其他flush-*命令執(zhí)行類似refresh的功能，但其范圍有限，因此適用于某些特定情況，例如：如果只想清洗日志文件，使用flush-log比refresh更合適。shutdownShutdown_priv停止或關(guān)閉MySQLprocessProcess_priv查看當(dāng)前執(zhí)行的查詢，該權(quán)限的擁有者可以執(zhí)行的命令有：processlist和kill。processlist用于顯示在服務(wù)器內(nèi)執(zhí)行的線程的信息，kill用于殺死服務(wù)器線程。

MySQL用戶權(quán)限1（3）MySQL權(quán)限系統(tǒng)的工作原理MySQL權(quán)限系統(tǒng)保證所有的用戶可以嚴(yán)格按照事先分配好的權(quán)限對數(shù)據(jù)庫進(jìn)行允許的操作。當(dāng)用戶試圖連接到一個MySQL服務(wù)器并且對數(shù)據(jù)庫進(jìn)行相關(guān)操作時，MySQL權(quán)限系統(tǒng)將對用戶的身份進(jìn)行驗證并授予其相應(yīng)的操作權(quán)限，這一過程包含兩個階段，即連接驗證階段和請求驗證階段。（1）第一階段------連接驗證階段（2）第二階段------請求驗證階段

MySQL用戶權(quán)限1（4）連接MySQL數(shù)據(jù)庫要想使用Mysql客戶端程序?qū)?shù)據(jù)庫進(jìn)行管理，首先需要連接將要管理的MySQL服務(wù)器。連接時，需要指定主機名、用戶名和口令，其命令格式為：

mysql[-hhostname][-uusername][-p[password]][database]其中，-h、-u和-p選項的另一種形式是--host=host_name、

--user=user_name--password=your_pass

MySQL用戶權(quán)限1（5）MySQL的初始化權(quán)限MySQL安裝完成之后，在啟動MySQL服務(wù)（mysqld）時，會加載授權(quán)表中的初始權(quán)限設(shè)置。這些初始權(quán)限存儲在user和db表中，可以使用SELECT語句進(jìn)行查看，主要包括：內(nèi)置一個口令為空的root用戶，該用戶是可以對MySQL數(shù)據(jù)庫系統(tǒng)進(jìn)行任何操作的超級用戶。使用root用戶連接服務(wù)器時，必須由本地主機（localhost）發(fā)出。

MySQL用戶權(quán)限1（5）MySQL的初始化權(quán)限內(nèi)置一個匿名用戶，該用戶可對有一個名為“test”或名稱以“test_”開始的數(shù)據(jù)庫進(jìn)行任何操作。使用匿名用戶連接服務(wù)器時，也必須由本地主機（localhost）發(fā)出。其他權(quán)限均被拒絕。

MySQL用戶權(quán)限1（6）設(shè)置MySQL超級用戶root的口令為root用戶設(shè)置密碼方法如下：①使用mysqladmin實用程序?qū)oot口令設(shè)置為123456[root@rhlroot]#mysqladminpassword'123456‘②使用SETPASSWORD語句和PASSWORD()函數(shù)將root口令設(shè)置為123456mysql>SETPASSWORDforroot=PASSWORD(‘123456’)；

MySQL用戶權(quán)限1（6）設(shè)置MySQL超級用戶root的口令

③使用UPDATE語句和PASSWORD()函數(shù)將root口令設(shè)置為crqmysql>UPDATEuserSETpassword=PASSWORD(‘123456’)WHEREuser=’root’;刪除匿名用戶方法如下：mysql>usemysql;mysql>DELETEfromuserWHEREuser=’’;

MySQL用戶權(quán)限1（7）RANT和REVOKE語句GRANT語句用于授予用戶權(quán)限。其語法如下：GRANTpriv_type[(column_list)][,priv_type[(column_list)]...]ON{*.*|*|db_name.*|db_name.tbl_name|db_name}TOuser_name[IDENTIFIEDBY'password'][,user_name[IDENTIFIEDBY'password']...][WITHGRANTOPTION]

MySQL用戶權(quán)限1（7）RANT和REVOKE語句REVOKE語句用于撤消用戶權(quán)限，其語法如下：REVOKEpriv_type[(column_list)][,priv_type[(column_list)]...]ON{*.*|*|