安全系统与连接研究

1、 MySQL安全系统与连接研究第二讲安全系统网络主机数据库对于mysql来说：1.用户管理模块:usernamehostname认证2.访问控制模块:mysql授权系统表用户管理创建用户1.create user usernamehostname identified by ;创建一个只有usage权限的用户2.grant privilege_name on database_name.table_name to usernamehostname identified by ;推荐方式查看：1.show grants for usernamehostname;2.select user,hos

2、t,password from mysql.user;用户管理删除用户1.drop user usernamehostname;直接删除用户，推荐方式 删除用户后需要刷新权限表 flush privileges;2.revoke privilege_name on database_name.table_name from usernamehostname;用户依然保留连接MySQL的4种方式TCP/IP指定host，portUnix socket默认的本机连接方式，指定-Snamed pipe(windows only)-enable-named-pipeshared memory(wind

3、ows only)-shared-memoryMySQL提供的权限MySQL提供的权限实战案例用root用户给A用户授权+with grant option用A用户登录，给B授权revoke权限 from A用户验证B用户的权限MySQL权限表权限层级覆盖：mysql.user针对整个mysqldmysql.db针对单个databasemysql.host辅助mysql.db，在host为空时辅助验证mysql.tables_priv针对单个表mysql.columns_priv针对单个列的grant select(id,value) on sakila.t1 to sakila_rlocal

4、host identified by 1234; mysqld启动时全部加载到内存权限验证流程SQL-mysql.user (user,host,select_priv) -mysql.db (user,host,db) -mysql.host (db,host,select_priv) -mysql.tables_priv (user,host,db,table_priv) -mysql.columns_priv (user,host,db,table,column_priv) -验证失败，无权限举例：SQL-select id,name from test.t4 where status=

5、deleted; user=abc, host=localhostMySQL权限管理routine权限execute,alter routine权限传递with grant option查看权限show grants for usernamehostname;hack:直接修改权限表，然后flush privileges;MySQL的资源限制mysql.user表：max_questions| max_queries ： WITH MAX_QUERIES_PER_HOUR n；max_updates ： WITH MAX_UPDATES_PER_HOUR n；max_connections ：

6、WITH MAX_CONNECTIONS_PER_HOUR n；max_user_connections： MAX_USER_CONNECTIONSgrant all on *.* to test1localhost with max_queries_per_hour 100 max_connections_per_hour 40;如何设计授权和安全策略权限最小化，管理权限不要给，process,file,super集群内所有实例账号一致避免使用通配符%mysql初始用户删除，并给root赋予密码避免用root用户启动mysqlddb账号按照程序端模块划分1.程序读写账号2.程序定时任务账号3

7、.监控和管理程序账号4.同步账号尽量使用ip来授权，why?安全设置选项-skip-networking禁用TCP/IP连接，用剩下3种-skip-name-resolve禁用主机名方式验证客户端,localhost除外host cache解析流程：client_ip-server-host_cache(ip,hostname,error) -ip-hostname in host_cache -resolved_ip=ip? yes: connect no:aborted_connectquestion：为什么只用ip授权？1.skip-name-resolve缘故2.防止DNS恶意篡改耗时

8、！安全设置选项-skip-grant-table 不加载权限表，所有用户完全权限登陆可通过flush privileges或reload重新加载权限表-local-infile=0禁用load data local，在无远程load data生产环境建议设为0-old-passwords新的加密方位41位兼容老的密码加密方式16位不建议开启-safe-user-create除非用户有对mysql.user的insert权限，否则不能用grant方式创建用户-secure-auth使得MySQL 4.1以前的客户端无法验证，防止旧密码连接-skip-show-database只允许有show d

9、atabases权限的用户执行该语句修改用户密码的4种方式mysqladmin方式mysqladmin u username h hostname password “newpass”set方式set password for userhost=password(newpass);grant方式grant usage on *.* to userhost identified by newpass;直接修改授权表（不推荐）update user set password=password(newpass) where user= and host=;常见连接问题Access denied未授权

10、，用户名密码不对Cant connect to local MySQL serversocket是否存在，mysqld是否存活，port和host是否正确Lost connection to MySQL server1.网络问题2.返回结果集很大net_read_timeout很小3.connect_timeout设置太小MySQL server has gone away1.wait_timeout2.本线程被kill掉3.客户端未exit，但mysqld重启4.发送BLOB，超过max_allowed_packet，server认为损坏，关闭连接Cant create/write to filemysqld对指定位置没有写入权限实战案例1忘