版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、 MySQL安全系统与连接研究第二讲安全系统网络主机数据库对于mysql来说:1.用户管理模块:usernamehostname认证2.访问控制模块:mysql授权系统表用户管理创建用户1.create user usernamehostname identified by ;创建一个只有usage权限的用户2.grant privilege_name on database_name.table_name to usernamehostname identified by ;推荐方式查看:1.show grants for usernamehostname;2.select user,hos
2、t,password from mysql.user;用户管理删除用户1.drop user usernamehostname;直接删除用户,推荐方式 删除用户后需要刷新权限表 flush privileges;2.revoke privilege_name on database_name.table_name from usernamehostname;用户依然保留连接MySQL的4种方式TCP/IP指定host,portUnix socket默认的本机连接方式,指定-Snamed pipe(windows only)-enable-named-pipeshared memory(wind
3、ows only)-shared-memoryMySQL提供的权限MySQL提供的权限实战案例用root用户给A用户授权+with grant option用A用户登录,给B授权revoke权限 from A用户验证B用户的权限MySQL权限表权限层级覆盖:mysql.user针对整个mysqldmysql.db针对单个databasemysql.host辅助mysql.db,在host为空时辅助验证mysql.tables_priv针对单个表mysql.columns_priv针对单个列的grant select(id,value) on sakila.t1 to sakila_rlocal
4、host identified by 1234; mysqld启动时全部加载到内存权限验证流程SQL-mysql.user (user,host,select_priv) -mysql.db (user,host,db) -mysql.host (db,host,select_priv) -mysql.tables_priv (user,host,db,table_priv) -mysql.columns_priv (user,host,db,table,column_priv) -验证失败,无权限举例:SQL-select id,name from test.t4 where status=
5、deleted; user=abc, host=localhostMySQL权限管理routine权限execute,alter routine权限传递with grant option查看权限show grants for usernamehostname;hack:直接修改权限表,然后flush privileges;MySQL的资源限制mysql.user表:max_questions| max_queries : WITH MAX_QUERIES_PER_HOUR n;max_updates : WITH MAX_UPDATES_PER_HOUR n;max_connections :
6、WITH MAX_CONNECTIONS_PER_HOUR n;max_user_connections: MAX_USER_CONNECTIONSgrant all on *.* to test1localhost with max_queries_per_hour 100 max_connections_per_hour 40;如何设计授权和安全策略权限最小化,管理权限不要给,process,file,super集群内所有实例账号一致避免使用通配符%mysql初始用户删除,并给root赋予密码避免用root用户启动mysqlddb账号按照程序端模块划分1.程序读写账号2.程序定时任务账号3
7、.监控和管理程序账号4.同步账号尽量使用ip来授权,why?安全设置选项-skip-networking禁用TCP/IP连接,用剩下3种-skip-name-resolve禁用主机名方式验证客户端,localhost除外host cache解析流程:client_ip-server-host_cache(ip,hostname,error) -ip-hostname in host_cache -resolved_ip=ip? yes: connect no:aborted_connectquestion:为什么只用ip授权?1.skip-name-resolve缘故2.防止DNS恶意篡改耗时
8、!安全设置选项-skip-grant-table 不加载权限表,所有用户完全权限登陆可通过flush privileges或reload重新加载权限表-local-infile=0禁用load data local,在无远程load data生产环境建议设为0-old-passwords新的加密方位41位兼容老的密码加密方式16位不建议开启-safe-user-create除非用户有对mysql.user的insert权限,否则不能用grant方式创建用户-secure-auth使得MySQL 4.1以前的客户端无法验证,防止旧密码连接-skip-show-database只允许有show d
9、atabases权限的用户执行该语句修改用户密码的4种方式mysqladmin方式mysqladmin u username h hostname password “newpass”set方式set password for userhost=password(newpass);grant方式grant usage on *.* to userhost identified by newpass;直接修改授权表(不推荐)update user set password=password(newpass) where user= and host=;常见连接问题Access denied未授权
10、,用户名密码不对Cant connect to local MySQL serversocket是否存在,mysqld是否存活,port和host是否正确Lost connection to MySQL server1.网络问题2.返回结果集很大net_read_timeout很小3.connect_timeout设置太小MySQL server has gone away1.wait_timeout2.本线程被kill掉3.客户端未exit,但mysqld重启4.发送BLOB,超过max_allowed_packet,server认为损坏,关闭连接Cant create/write to filemysqld对指定位置没有写入权限实战案例1忘
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年茶及饮料原料项目成效分析报告
- 2024至2030年西瓦项目投资价值分析报告
- 2024至2030年搪瓷淋浴方盘项目投资价值分析报告
- 2024年环保送风设备项目可行性研究报告
- 特色点心供应合同
- 电脑组件购买合同模板
- 提前终止租房合同的解除程序
- 供货与采购合同实例
- 合同定立原则案例
- 2024年染料类项目立项申请报告范文
- 2024年广东省公务员录用考试《行测》试题及答案解析
- 黑龙江省 哈尔滨市第四十七中学校2024-2025学年七年级上学期期中考试语文试题
- 期中(1-4单元)(试题)-2024-2025学年六年级数学上册西师大版
- 河南国有资本运营集团有限公司招聘笔试题库2024
- 《乌鲁木齐市国土空间总体规划(2021-2035年)》
- 无人机应用技术专业申报表
- 2024年巴黎奥运会及奥运会知识宣讲课件
- 河南省城市生命线安全工程建设指引V1
- 生涯发展展示
- 报价单(报价单模板)
- 新精美水墨中国风书香校园读书活动动态ppt模板
评论
0/150
提交评论