MySQL的使用者密碼過期功能
Payment Card Industry,即支付卡行業,PCI行業表示借記卡、信用卡、預付卡、電子錢包、ATM和POS卡及相關的業務。
PCI DSS,即PCI資料安全標準(Payment Card Industry Data Security Standard)是由PCI安全標準委員會制定,旨在使國際上採用一致的資料安全措施。
PCI DSS標準要求使用者每隔90天必須更改他們的密碼。那麼MySQL資料庫該怎樣適應這個情況?幸運的是,在MySQL版本5.6.6版本起,添加了password_expired功能,它允許設定使用者的過期時間。
這個特性已經新增到mysql.user資料表,但是它的預設值是”N”。可以使用ALTER USER語句來修改這個值。
下面是關於如何設定MySQL使用者賬號的到期日期一個簡單例子:
?1 |
mysql>
ALTER
USER
'testuser'
@
'localhost'
PASSWORD
EXPIRE;
|
一旦某個使用者的這個選項設定為”Y”,那麼這個使用者還是可以登陸到MySQL伺服器,但是在使用者未設定新密碼之前不能執行任何查詢語句,而且會得到如下錯誤訊息提示:
?1 2 3 |
mysql> SHOW DATABASES;
ERROR 1820 (HY000): You must SET
PASSWORD
before executing this statement
Keep
in
mind that this does
not
affect
any
current
connections the account has
open
.
|
當用戶設定了新密碼後,此使用者的所有操作(根據使用者自身的許可權)會被允許執行:
?1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
mysql>
SET
PASSWORD
=
PASSWORD
(
'mechipoderranen'
);
Query OK, 0
rows
affected (0.00 sec)
mysql> SHOW DATABASES;
+
--------------------+
|
Database
|
+
--------------------+
| information_schema |
| data |
| logs |
| mysql |
| performance_schema |
| test |
+
--------------------+
6
rows
in
set
(0.00 sec)
mysql>
|
DBA可以通過cron定時器任務來設定MySQL使用者的密碼過期時間。
從MySQL 5.7.4版開始,使用者的密碼過期時間這個特性得以改進,可以通過一個全域性變數default_password_lifetime來設定密碼過期的策略,此全域性變數可以設定一個全域性的自動密碼過期策略。
用法示例:
可以在MySQL的配置檔案中設定一個預設值,這會使得所有MySQL使用者的密碼過期時間都為90天,MySQL會從啟動時開始計算時間。my.cnf配置如下:
1 2 |
[mysqld]
default_password_lifetime=90
|
如果要設定密碼永不過期的全域性策略,可以這樣:(注意這是預設值,配置檔案中可以不宣告)
?1 2 |
[mysqld]
default_password_lifetime=0
|
在MySQL執行時可以使用超級許可權修改此配置:
?1 2 |
mysql>
SET
GLOBAL
default_password_lifetime = 90;
Query OK, 0
rows
affected (0.00 sec)
|
還可以使用ALTER USER命令為每個具體的使用者賬戶單獨設定特定的值,它會自動覆蓋密碼過期的全域性策略。要注意ALTER USER語句的INTERVAL的單位是“天”。
?1 |
ALTER
USER
‘testuser
'@‘localhost'
PASSWORD
EXPIRE INTERVAL 30
DAY
;
|
禁用密碼過期:
?1 |
ALTER
USER
'testuser'
@
'localhost'
PASSWORD
EXPIRE NEVER;
|
讓使用者使用預設的密碼過期全域性策略:
?1 |
ALTER
USER
'testuser'
@
'localhost'
PASSWORD
EXPIRE
DEFAULT
;
|
從MySQL 5.7.6版開始,還可以使用ALTER USER語句修改使用者的密碼:
?1 2 |
mysql>
ALTER
USER
USER
() IDENTIFIED
BY
'637h1m27h36r33K'
;
Query OK, 0
rows
affected (0.00 sec)
|
後記
在MySQL 5.7.8版開始使用者管理方面添加了鎖定/解鎖使用者賬戶的新特性, related to user management is locking/unlocking user accounts when CREATE USER, or at a later time running the ALTER USER statement.
下面建立一個帶賬戶鎖的使用者:
?1 2 |
mysql> CREATE USER
'furrywall'
@
'localhost'
IDENTIFIED BY
'71m32ch4n6317'
ACCOUNT LOCK;
Query OK,
0
rows affected (
0.00
sec)
|
如下所示,新建立的使用者在嘗試登陸時會得到一個ERROR 3118錯誤訊息提示:
?1 2 3 |
$ mysql -ufurrywall -p
Enter password:
ERROR
3118
(HY000): Access denied
for
user
'furrywall'
@
'localhost'
. Account is locked.
|
此時就需要使用ALTER USER … ACCOUNT UNLOCK語句進行解鎖了:
?1 2 |
mysql>ALTER USER
'furrywall'
@
'localhost'
ACCOUNT UNLOCK;
Query OK,
0
rows affected (
0.00
sec)
|
現在,這個使用者已經解鎖,可以登陸了:
?1 2 3 4 5 6 7 8 9 10 11 |
$ mysql -ufurrywall -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or g.
Your MySQL connection id is
17
Server version:
5.7
.
8
-rc MySQL Community Server (GPL)
Copyright (c)
2000
,
2015
, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type
'help;'
or
'h'
for
help. Type
'c'
to clear the current input statement.
mysql>
|
還可以這樣鎖定使用者賬戶:
?1 2 |
mysql> ALTER USER
'furrywall'
@
'localhost'
ACCOUNT LOCK;
Query OK,
0
rows affected (
0.00
sec)
|
以上就是為大家介紹的MySQL的使用者密碼過期功能的相關內容,希望對大家的學習有所幫助。