第五章MYSQL中的安全性.ppt

1、數(shù)據(jù)庫技術(shù)和應(yīng)用程序節(jié)目，第5章MYSQL權(quán)限和安全性，第2頁，牙齒章節(jié)的主要內(nèi)容，5.1 MYSQL權(quán)限管理5.1.1 MYSQL權(quán)限管理的工作原理5.1.2權(quán)限表訪問5.1.3帳戶管理5.2.3帳戶管理5.2.1操作系統(tǒng)安全問題5.2.2 MYSQL數(shù)據(jù)庫安全問題5.2不符合規(guī)律，拒絕連接。驗(yàn)證權(quán)限：將用戶執(zhí)行數(shù)據(jù)庫操作的權(quán)限授予經(jīng)過驗(yàn)證的合法用戶。MYSQL用戶身份驗(yàn)證是通過用戶名主機(jī)名(例如rootlocalhost)實(shí)現(xiàn)的聯(lián)合身份驗(yàn)證。在每個主機(jī)上具有相同用戶名的用戶被視為行不通的用戶(例如，不同于)。記錄用戶權(quán)限信息的表在MYSQL啟動時加載到內(nèi)存中。第4頁、5.1.2權(quán)限表訪問和

2、MYSQL權(quán)限訪問這兩個過程都要求使用“MySQL”數(shù)據(jù)庫下的系統(tǒng)表。使用者認(rèn)證：使用使用者、db、主機(jī)權(quán)限表格來決定使用者的合法性和預(yù)設(shè)權(quán)限。驗(yàn)證權(quán)限：驗(yàn)證基本權(quán)限后，可以通過tables_priv和columns_priv、procs_priv表為表、列和存儲過程提供更精確的權(quán)限控制。用戶連接時訪問權(quán)限表的過程是首先驗(yàn)證通過user表中的host、user和password字段連接的IP、用戶名和密碼是否正確的過程。驗(yàn)證后，按userdbtables_privcolumns_priv順序獲取數(shù)據(jù)庫權(quán)限。權(quán)限范圍依次縮小。第5頁，權(quán)限分配說明，分配userdbtables_privcolum

3、ns_priv的默認(rèn)步驟：1，全局權(quán)限檢查user表，如果該用戶對所有數(shù)據(jù)庫的權(quán)限為y，則不再檢查其他權(quán)限表。2、如果用戶表中的相應(yīng)權(quán)限為N，則在db表中該用戶的數(shù)據(jù)庫檢查Db表中，如果為y，則用戶具有數(shù)據(jù)庫的指定權(quán)限，并且不再檢查其他權(quán)限表。3、如果db表的相應(yīng)權(quán)限為n，則檢查tables_priv表中相應(yīng)數(shù)據(jù)庫下的特定表(例如，如果為y，則檢查該表是否具有相應(yīng)權(quán)限)。4.如果tables_priv表的相應(yīng)權(quán)限為n，請檢查columns_priv中該表的特定字段以檢查權(quán)限。實(shí)際上，userdbtables_privcolumns_priv順序?qū)?yīng)于服務(wù)器分配數(shù)據(jù)庫分配表分配字段，第6頁，權(quán)限

4、分配說明，以及分配userdbtables_privcolumns_priv的默認(rèn)步驟創(chuàng)建帳戶5.1.您必須具有MySQL數(shù)據(jù)庫或insql的全局create user權(quán)限，才能同時創(chuàng)建多個帳戶，如Create user zzh 1 localhost identified by 123456、zzh 2 localhost identified by 123456。第9頁，創(chuàng)建帳戶添加用戶表唱片，語法insert into user (host，user，password，SSL _ cipher，x509 _ ii)如果直接將用戶插入用戶表，則密碼為passer

5、t into user否則，即使用戶創(chuàng)建，也無法登錄。User表中的SSL _ cipher、x509 _ issuer和x509 _ subject三個字段沒有默認(rèn)值，因此您必須填寫初始值才能插入用戶。將用戶直接插入用戶表后，必須運(yùn)行FLUSH PRIVIEGES。命令通過重新裝載MYSQL牙齒user表的權(quán)限來應(yīng)用添加的用戶。當(dāng)然，您還可以重新啟動MYSQL服務(wù)器。，第10頁，創(chuàng)建帳戶GRANT語句，默認(rèn)語法GRANT priv_type (column_list)，priv_type (column_list).on object _ type TBL _ name | *

6、 | *。* | db _ name。* to User ii User identified by password password.with option object _ type=table | function | procedure grant語句用于在創(chuàng)建用戶時指定該用戶的相關(guān)權(quán)限，WITH OPTION選項(xiàng)允許創(chuàng)建的用戶將自己收到的權(quán)限授予其他用戶。第11頁，創(chuàng)建帳戶GRANT語句，授權(quán)可以分為多個級別。全局級別：全局權(quán)限應(yīng)用于指定服務(wù)器中的所有數(shù)據(jù)庫條目。這些權(quán)限存儲在mysql.user表中。GRANT ALL ON *。*和REVOKE ALL ON *。

7、*僅授予和撤銷全局權(quán)限。表格層次：表格權(quán)限會套用至指定表格中的所有資料欄。這些權(quán)限存儲在mysql.talbes_priv表中。GRANT ALL ON db_name.tbl_name和REVOKE ALL ON db_name.tbl_name僅授予和撤銷表權(quán)限。資料列層次：資料列權(quán)限會套用至指定表格中的單一資料列。這些權(quán)限存儲在mysql.columns_priv表中。使用REVOKE時，必須指定與批準(zhǔn)的行相同的行。子節(jié)目級別：create routine、alter routine、execute和GRANT權(quán)限應(yīng)用于存儲的子程序。這些權(quán)限可以在全局和數(shù)據(jù)庫級別授予。這些權(quán)限(CREA

8、TE ROUTINE除外)在子節(jié)目級別授予，存儲在cs_priv表中。第12頁，帳戶創(chuàng)建GRANT語句，對于全局、數(shù)據(jù)庫、表和子節(jié)目級別，GRANT ALL只能授予賦權(quán)級別上存在的權(quán)限。例如，db _ name .*中的grant all是數(shù)據(jù)庫級語句。您可以使用MySQL將權(quán)限授予不存在的數(shù)據(jù)庫目標(biāo)。這樣做是為了數(shù)據(jù)庫管理員準(zhǔn)備將要創(chuàng)建的數(shù)據(jù)庫目標(biāo)的用戶帳戶和權(quán)限。刪除表格或數(shù)據(jù)庫時，MySQL不會自動撤銷權(quán)限。但是，刪除子程序?qū)⒊废峙浣o該子程序的所有子節(jié)目級別的權(quán)限。創(chuàng)建每個級別的權(quán)限表，第13頁，帳戶GRANT語句，每個級別的賦權(quán)示例：gr

9、ant all privileges on * .* to ZZ h1 localhost identified by 123455全球級別grant all privileges on test。* to ZZ h1 localhost identified by 123456；曲面級別grant select，create，drop on ST . student to ZZ h1 localhost identified by 123456；曲面級別grant select，update(sname)on ST . student to ZZ h1 localhost identifie

10、d by 123456；行級grant execute on procedure ST . get record to zzh 1 localhost identified by 123456；子節(jié)目級別，第14頁，創(chuàng)建帳戶GRANT語句，權(quán)限限制用戶資源：GRANT ALL ON customer。* To Francis localhost identified by frank with MAX _ queries _ PER _ HOUR 20每小時執(zhí)行查詢的次數(shù)MAX_UPDATES_PER_HOUR 10每小時執(zhí)行更新的次數(shù)MAX_UPDATES_PER_HOUR用于

11、創(chuàng)建特定用戶權(quán)限。grant all privileges on *。* to 192.168.1.% identified by 123456，第16頁，查看權(quán)限，1，SHOW GRANT語句SHOW GRANTS FOR userhost G，2，使用SELECT語句查看權(quán)限表SELECT * from information _ schema . schema.on object _ type TBL _ name User.object _ type=table | function | procedure revoke敘述句可以同時回收多個使用者指定的工作權(quán)限。REVO

12、KE語句無法刪除MYSQL用戶。要撤銷所有權(quán)限，請使用以下語法：Revoke all privileges，grant option from user，user.第18頁，更改密碼，1，修改root用戶密碼mysqladmin命令使用MySQL UPDATE user表UPDATE MySQL . userset password=password(新密碼)，第19頁，更改密碼，2，修改root最終用戶密碼SET語句SET password for user host=password( new password )；使用UPDATE修改user表updatemy

13、sql . userset password=password(新密碼)where User=user and host=host 。注意：使用UPDATE語句后，必須使用FLUSH PRIVILEGES語句重新加載權(quán)限表。3，最終用戶修改自己的密碼SET password=password(“新密碼”)；第20頁，用戶名更改，1，RENAME USER語句RENAME USER old _ user to new _ user，如果使用old _ user to new _ user的舊帳戶不存在或新帳戶已存在，則會出錯Old_user和new_user值的提供方式與GRANT

14、語句相同。第21頁，刪除帳戶，1，使用DROP USER語句DROP USER userhost，2，使用DELETE語句查看權(quán)限表DELETE from USER where USER= ZZ h6 and hostflash privileges；第22頁，用戶登錄，MYSQL退出，用戶登錄MYSQL默認(rèn)步驟1，DOS中MYSQL的安裝目錄BIN目錄下的2，運(yùn)行以下登錄語句MYSQL h localhost u root p 3，輸入密碼5.2 MYSQL安全問題，5只有確保數(shù)據(jù)安全，用戶才能信任系統(tǒng)提供的信息，并為業(yè)務(wù)發(fā)展提供可靠的支持。在討論安全性時，強(qiáng)調(diào)必須完全保護(hù)整個服務(wù)器主機(jī)(不僅僅是MySQL服務(wù)器)，避免竊聽、修改、重放和拒絕服務(wù)等各種類型的攻擊。牙齒部分共24頁，5.2.1操作系統(tǒng)安全問題，1 .嚴(yán)格控制操作系統(tǒng)帳戶和權(quán)限2。避免以root(操作系統(tǒng)高級管理員)權(quán)限運(yùn)行MYSQL?？梢暂p松保護(hù)MYSQL安裝目錄。3.防止DNS欺騙。指定主機(jī)時，請盡可能使用IP地址標(biāo)識主機(jī)。第25頁，5.2.2 MYSQL數(shù)據(jù)庫安全問題，1 .刪除匿名帳戶(某些版本的MYSQL創(chuàng)建匿名用戶)。2.為根帳戶設(shè)置密碼。3.設(shè)定安全密碼。密碼復(fù)雜性，使用過程的安全性。4.僅授予