2. 程式人生 > 資料庫 >MySQL資料庫高危許可權回收參考

MySQL資料庫高危許可權回收參考

阿新 發佈:2020-11-04

1. 基本操作指令

1、檢視當前系統資料庫

# mysql -uroot -p
mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| erp              |
+--------------------+
3 rows in set (0.00 sec)

2、切換資料庫

mysql> use erp;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed

2. 許可權回收準備工作

1、統計當前環境所有的使用者(%表示所有機器可訪問;127.0.0.1、localhost表示本機可訪問)

mysql> SELECT DISTINCT CONCAT('User: ''',user,'''@''',host,''';') AS query FROM mysql.user;
+-----------------------------------------+
| query                                   |
+-----------------------------------------+
| User: 'root'@'%';                       |
| User: 'root'@'127.0.0.1';               |
| User: 'root'@'::1';                     |
| User: ''@'localhost';                   |
| User: 'root'@'localhost';               |
| User: 'erp'@'%';                       |
+-----------------------------------------+
5 rows in set (0.00 sec)

2、統計業務使用者具有哪些許可權以使用者名稱erp舉例如下

mysql> show grants for 'erp'@'%';
+------------------------------------------------------------------------------------+
| Grants for erp@%                                                         |
+------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'erp'@'%' IDENTIFIED BY PASSWORD '*******'      |
| GRANT ALL PRIVILEGES ON `ump`.* TO 'ump'@'%'                          |
+------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)

3. 操作回收高危許可權

1、回收所有許可權或回收某一許可權,比如drop許可權

mysql> revoke all privileges on erp.* from 'erp'@'%';
mysql> revoke drop on erp.* from 'erp'@'%';
mysql> flush privileges;

備註:
(1)列舉部分特殊的伺服器許可權及其功能說明:

super:擁有此許可權允許使用者終止任何查詢;修改全域性變數的SET語句;使用CHANGE MASTER,PURGE MASTER LOGS
shutdown:關閉資料庫
show databases:檢視資料庫
replication client:查詢master server、slave server狀態
replication slave:檢視從伺服器
reload:擁有此許可權才可執行flush [tables | logs | privileges]
process:擁有此許可權才可以執行SHOW PROCESSLIST和KILL命令
file:擁有file許可權才可以執行 select ..into outfile和load data infile…操作

(2)普通使用者許可權及其功能說明:

all:允許任何操作(usage許可權不能被回收)
usage:只允許登入
alter:修改資料庫的表
alter routine:修改/刪除儲存過程
create:建立表
create routine:建立儲存過程
create temporary tables:建立臨時表
create:建立新的資料庫或表
create view:建立檢視
delete:刪除表資料
drop:刪除資料庫/表
event:建立/更改/刪除/檢視事件
execute:執行許可權
grant option:將自身所擁有的許可權授予其他使用者
index:建立/刪除索引
insert:新增表資料
lock tables:鎖表
references:將其它表的一個欄位作為某一個表的外來鍵約束
select:查詢表資料
show view:檢視檢視
trigger:建立觸發器
update:更新表資料

2、重新授權必要許可權

mysql> grant select,insert,alter,update,delete,create,execute on erp.* to 'erp'@'%' ;
mysql> flush privileges;

3、確認許可權

mysql> show grants for 'erp'@'%';

4. 注意事項

1)、file, process, super為危險許可權,切勿許可權授予管理員以外的賬號;

mysql> revoke file,process,super on erp.* from 'erp'@'%';

2)、檢視某個或所有使用者的伺服器許可權,確認普通賬號沒有授權上述三種危險許可權

mysql> select * from mysql.user where user='erp'\G;
*************************** 1. row ***************************
                  Host: %
                  User: erp
              Password: *33F471D4D8A84CD6C0
           Select_priv: N
           Insert_priv: N
           Update_priv: N
           Delete_priv: N
           Create_priv: N
             Drop_priv: N
           Reload_priv: N
         Shutdown_priv: N
          Process_priv: N
             File_priv: N
            Grant_priv: N
       References_priv: N
            Index_priv: N
            Alter_priv: N
          Show_db_priv: N
            Super_priv: N
 Create_tmp_table_priv: N
      Lock_tables_priv: N
          Execute_priv: N
       Repl_slave_priv: N
      Repl_client_priv: N
      Create_view_priv: N
        Show_view_priv: N
   Create_routine_priv: N
    Alter_routine_priv: N
      Create_user_priv: N
            Event_priv: N
          Trigger_priv: N
Create_tablespace_priv: N
              ssl_type: 
            ssl_cipher: 
           x509_issuer: 
          x509_subject: 
         max_questions: 0
           max_updates: 0
       max_connections: 0
  max_user_connections: 0
                plugin: mysql_native_password
 authentication_string: 
      password_expired: N
1 row in set (0.00 sec)
mysql> select * from mysql.user \G;

3)、授予某張表許可權,許可權資訊儲存在mysql.tables_priv表中

mysql> grant select on dbname.tablename to 'username'@'%' with grant option;
mysql> select * from mysql.tables_priv;
select * from mysql.tables_priv;
+-----------+-----+-------+------------+----------------+---------------------+-------+
| Host | Db  | User  | Table_name  | Grantor | Timestamp | Table_priv | Column_priv |
+-----------+-----+-------+------------+----------------+---------------------+-------+
| % | dbname | username | tablename | root@localhost | 0000-00-00 00:00:00 | Select,Grant |             |
+-----------+-----+-------+------------+----------------+---------------------+-------+

4)、授予某個欄位許可權,許可權資訊儲存在mysql.columns_priv表中

mysql> grant select(Column_name) on dbname.tablename to 'username'@'%' with grant option;
mysql> select * from mysql.columns_priv;
select * from mysql.columns_priv;
+-----------+-----+-------+------------+-------------+---------------------+----------+
| Host   | Db  | User  | Table_name | Column_name | Timestamp   | Column_priv |
+-----------+-----+-------+------------+-------------+---------------------+----------+
| % | dbname | username | tablename | Column_name | 0000-00-00 00:00:00 | Select|
+-----------+-----+-------+------------+-------------+---------------------+----------+

5)、當使用如下命令回收許可權時,它回收的只是全域性的許可權,username使用者其他的許可權,比如對dbname資料庫的許可權,對tablename表的許可權,對某個Column_name欄位的許可權仍然持有。

mysql> revoke all privileges on *.* from 'username'@'localhost';

所以為了回收使用者的所有許可權,要使用如下命令

mysql> revoke all privileges,grant option from 'username'@'%';

5. 結束

相關推薦

MySQL資料庫高危許可權回收參考

1. 基本操作指令 1、檢視當前系統資料庫 # mysql -uroot -p mysql> show databases; +--------------------+

linux系統mysql資料庫許可權和連線管理

一、MySQL5.6與MySQL5.7的區別 1.編譯安裝區別 #5.7在編譯安裝的時候多了一個boostorg庫

spring boot:spring security用mysql資料庫實現RBAC許可權管理(spring boot 2.3.1)

一,用資料庫實現許可權管理要注意哪些環節? 1,需要生成spring security中user類的派生類,用來儲存使用者id和暱稱等資訊,

mysql資料庫使用者的建立,許可權分配,刪除等

1.建立使用者 CREATE USER 使用者名稱@\'IP地址\' identified by \'密碼\';CREATE USER 使用者名稱@\'%\' identified by \'密碼\';ps:%表示所有id地址都能連線資料庫,添ip地址表示只有這個ip地址可以連線資

MySQL資料庫新建使用者併為使用者設定許可權

  業務需要,今天我在資料庫中建立新使用者,結果報錯了,語句及報錯如下:

MySQL資料庫設定遠端訪問許可權方法

轉自:https://blog.csdn.net/echizao1839/article/details/94380916注意設定完成後需要執行 flush privileges;

MySQL許可權回收

1.檢視系統使用者 mysql> select user,host from mysql.user; +---------------+-----------+ user| host|

全棧專案|小書架|伺服器開發-NodeJS 中使用 Sequelize 操作 MySQL資料庫

安裝 官網:sequelize.org/v5/manual/g… 安裝sequelize及資料庫連線驅動 npm install --save sequelize

Spring Boot實戰(三):Spring Boot使用Spring Data Jpa對MySQL資料庫進行CRUD操作

Spring Boot實戰(一):只需兩步!Eclipse+Maven快速構建第一個Spring Boot專案構建了第一個Spring Boot專案。

Spring Boot實戰(二):Spring Boot連線MySQL資料庫

上篇Spring Boot實戰(一):只需兩步!Eclipse+Maven快速構建第一個Spring Boot專案已經構建了一個Spring Boot專案,本文在此基礎上使用Hibernate進行連線MySQL資料庫的操作。

MySQL資料庫設計規範

目錄 1. 規範背景與目的 2. 設計規範 2.1 資料庫設計 2.1.1 庫名 2.1.2 表結構 2.1.3 列資料型別優化

原生Java操作mysql資料庫過程解析

這篇文章主要介紹了原生Java操作mysql資料庫過程解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考

Java連線mysql資料庫程式碼例項程式

這篇文章主要介紹了java連線mysql資料庫程式碼例項程式,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考

JDBC連線MySQL資料庫批量插入資料過程詳解

這篇文章主要介紹了JDBC連線MySQL資料庫批量插入資料過程詳解,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考

linux安裝mysql資料庫以及配置Java專案的圖文詳解

一、安裝mysql資料庫 ①下載並解壓上傳到/opt/soft目錄(soft目錄是自己建立的)

帶你徹底搞懂python操作mysql資料庫(cursor遊標講解)

1、什麼是遊標? 一張圖講述遊標的功能: 圖示說明: 2、使用遊標的好處? 如果不使用遊標功能,直接使用select查詢,會一次性將結果集列印到螢幕上,你無法針對結果集做第二次程式設計。使用遊標功能後,我們可

python與mysql資料庫互動的實現

1、安裝pymysql庫 如果你想要使用python操作MySQL資料庫,就必須先要安裝pymysql庫,這個庫的安裝很簡單,直接使用pip install pymysql;進行安裝。

Linux下修改MySQL資料庫資料檔案路徑的步驟

使用rpm安裝方式安裝完MySQL資料庫後,資料檔案的預設路徑為/var/lib/mysql,然而根目錄並不適合用於儲存資料檔案。

django連線mysql資料庫及建表操作例項詳解

本文例項講述了django連線mysql資料庫及建表操作。分享給大家供大家參考,具體如下:

mysql資料庫中1045錯誤的解決方法

本地資料庫連線伺服器資料庫報1045,如何解決? 這個意思是說:使用者“root”@本地主機的訪問被拒絕