如何設置mysql的權限為所有的用戶權限
這個設置只要進入 Linux 系統的超級用戶狀態(tài) # 下面�,即可以使用 chmod 命令對 MySQL 數據庫系統下面的所有文件進行權限設置����。具體的就看你想設置成什么權限,你就可以設置成什么權限了���。chmod 的基本用法如下:
“真誠服務����,讓網絡創(chuàng)造價值”是我們的服務理念,創(chuàng)新互聯團隊十余年如一日始終堅持在網站建設領域,為客戶提供優(yōu)質服。不管你處于什么行業(yè),助你輕松跨入“互聯網+”時代,PC網站+手機網站+公眾號+微信小程序定制開發(fā)����。
#chmod 750 myfile cr
該命令對 myfile 這個文件設置成:文件所有者(頭 3 位)具有:可讀(4)����、可寫(2)���、可執(zhí)行(1)權限���;同組用戶(中間 3 位)具有:可讀(4)���、可執(zhí)行(1)權限����;其他用戶(后 3 位):不可讀(4)、不可寫(2)���、不可執(zhí)行(1)權限�。
關于 chmod 更多的參數,你可以使用 man chmod 命令進行查看。
MySQL 數據庫���,如何分角色權限建表?
角色一直存在各個數據庫中�,比如 SQL Server���、Oracle 等����,MySQL 自從版本 8.0 release,引入了角色這個概念。
角色的概念
角色就是一組針對各種數據庫權限的集合����。比如����,把一個角色分配給一個用戶���,那這個用戶就擁有了這個角色包含的所有權限�。一個角色可以分配給多個用戶,另外一個用戶也可以擁有多個角色,兩者是多對多的關系����。不過 MySQL 角色目前還沒有提供類似于其他數據庫的系統預分配的角色�。比如某些數據庫的 db_owner�、 db_datareader 、 db_datawriter 等等。那接下來我分幾個方面����,來示例說明角色的使用以及相關注意事項�。
示例 1:一個完整角色的授予步驟
用管理員創(chuàng)建三個角色:db_owner, db_datareader, db_datawriter
mysql create role db_owner,db_datareader,db_datawriter;
Query OK, 0 rows affected (0.02 sec)
mysql grant all on ytt_new.* to db_owner;
Query OK, 0 rows affected (0.01 sec)
mysql grant select on ytt_new.* to db_datareader;
Query OK, 0 rows affected (0.01 sec)
mysql grant insert,delete,update on ytt_new.* to db_datawriter;
Query OK, 0 rows affected (0.01 sec)
創(chuàng)建三個普通用戶����,分別為 ytt1����、ytt2、ytt3����。mysql create user ytt1 identified by 'ytt',ytt2 identified by 'ytt',ytt3 identified by 'ytt';Query OK, 0 rows affected (0.01 sec)
分別授予這三個用戶對應的角色�。
-- 授權角色
mysql grant db_owner to ytt1;
Query OK, 0 rows affected (0.02 sec)
-- 激活角色
mysql set default role db_owner to ytt1;
Query OK, 0 rows affected (0.00 sec)
mysql grant db_datareader to ytt2;
Query OK, 0 rows affected (0.01 sec)
mysql set default role db_datareader to ytt2;
Query OK, 0 rows affected (0.01 sec)
mysql grant db_datawriter to ytt3;
Query OK, 0 rows affected (0.01 sec)
mysql set default role db_datawriter to ytt3;
Query OK, 0 rows affected (0.01 sec)
以上是角色授予的一套完整步驟����。那上面有點非常規(guī)的地方是激活角色這個步驟。MySQL 角色在創(chuàng)建之初默認是沒有激活的�,也就是說創(chuàng)建角色���,并且給一個用戶特定的角色���,這個用戶其實并不能直接使用這個角色���,除非激活了才可以���。
示例 2:一個用戶可以擁有多個角色
-- 用管理員登錄并且創(chuàng)建用戶
mysql create user ytt4 identified by 'ytt';
Query OK, 0 rows affected (0.00 sec)
-- 把之前的三個角色都分配給用戶ytt4.
mysql grant db_owner,db_datareader,db_datawriter to ytt4;
Query OK, 0 rows affected (0.01 sec)
-- 激活用戶ytt4的所有角色.
mysql set default role all to ytt4;
Query OK, 0 rows affected (0.02 sec)
-- ytt4 用戶登錄
root@ytt-pc:/var/lib/mysql# mysql -uytt4 -pytt -P3304 -hytt-pc
...
-- 查看當前角色列表
mysql select current_role();
+--------------------------------------------------------+
| current_role() ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? |
+--------------------------------------------------------+
| `db_datareader`@`%`,`db_datawriter`@`%`,`db_owner`@`%` |
+--------------------------------------------------------+
1 row in set (0.00 sec)
-- 簡單創(chuàng)建一張表并且插入記錄���, 檢索記錄���,完了刪掉這張表
mysql use ytt_new
Database changed
mysql create table t11(id int);
Query OK, 0 rows affected (0.05 sec)
mysql insert into t11 values (1);
Query OK, 1 row affected (0.02 sec)
mysql select * from t11;
+------+
| id ? |
+------+
| ? ?1 |
+------+
1 row in set (0.00 sec)
mysql drop table t11;
Query OK, 0 rows affected (0.04 sec)
示例 3:用戶在當前 session 里角色互換
其實意思是說����,用戶連接到 MySQL 服務器后���,可以切換當前的角色列表����,比如由 db_owner 切換到 db_datareader���。
-- 還是之前的用戶ytt4, 切換到db_datareader
mysql set role db_datareader;
Query OK, 0 rows affected (0.00 sec)
mysql select current_role();
+---------------------+
| current_role() ? ? ?|
+---------------------+
| `db_datareader`@`%` |
+---------------------+
1 row in set (0.00 sec)
-- 切換后�,沒有權限創(chuàng)建表
mysql create table t11(id int);
ERROR 1142 (42000): CREATE command denied to user 'ytt4'@'ytt-pc' for table 't11'
-- 切換到 db_owner,恢復所有權限�。
mysql set role db_owner;
Query OK, 0 rows affected (0.00 sec)
mysql create table t11(id int);
Query OK, 0 rows affected (0.04 sec)
示例 4:關于角色的兩個參數
activate_all_roles_on_login:是否在連接 MySQL 服務時自動激活角色mandatory_roles:強制所有用戶默認角色
-- 用管理員連接MySQL,
-- 設置默認激活角色
mysql set global activate_all_roles_on_login=on;
Query OK, 0 rows affected (0.00 sec)
-- 設置強制給所有用戶賦予角色db_datareader
mysql set global mandatory_roles='db_datareader';
Query OK, 0 rows affected (0.00 sec)
-- 創(chuàng)建用戶ytt7.
mysql create user ytt7;
Query OK, 0 rows affected (0.01 sec)
-- 用 ytt7登錄數據庫
root@ytt-pc:/var/lib/mysql# mysql -uytt7 -P3304 -hytt-pc
...
mysql show grants;
+-------------------------------------------+
| Grants for ytt7@% ? ? ? ? ? ? ? ? ? ? ? ? |
+-------------------------------------------+
| GRANT USAGE ON *.* TO `ytt7`@`%` ? ? ? ? ?|
| GRANT SELECT ON `ytt_new`.* TO `ytt7`@`%` |
| GRANT `db_datareader`@`%` TO `ytt7`@`%` ? |
+-------------------------------------------+
3 rows in set (0.00 sec)
示例 5 :create role 和 create user 都有創(chuàng)建角色權限����,兩者有啥區(qū)別?
以下分別創(chuàng)建兩個用戶 ytt8���、ytt9,一個給 create role���,一個給 create user 權限。
-- 管理員登錄���,創(chuàng)建用戶ytt8,ytt9.
mysql create user ytt8,ytt9;
Query OK, 0 rows affected (0.01 sec)
mysql grant create role on *.* to ytt8;
Query OK, 0 rows affected (0.02 sec)
mysql grant create user on *.* to ytt9;
Query OK, 0 rows affected (0.01 sec)
-- 用ytt8 登錄,
root@ytt-pc:/var/lib/mysql# mysql -uytt8 -P3304 -hytt-pc
...
mysql create role db_test;
Query OK, 0 rows affected (0.02 sec)
-- 可以創(chuàng)建角色���,但是不能創(chuàng)建用戶
mysql create user ytt10;
ERROR 1227 (42000): Access denied; you need (at least one of) the CREATE USER privilege(s) for this operation
mysql \q
Bye
-- 用ytt9 登錄
root@ytt-pc:/var/lib/mysql# mysql -uytt9 -P3304 -hytt-pc
...
-- 角色和用戶都能創(chuàng)建
mysql create role db_test2;
Query OK, 0 rows affected (0.02 sec)
mysql create user ytt10;
Query OK, 0 rows affected (0.01 sec)
mysql \q
Bye
那這里其實看到 create user 包含了 create role,create user 即可以創(chuàng)建用戶�,也可以創(chuàng)建角色����。
示例 6:MySQL 用戶也可以當角色來用
-- 用管理員登錄�,創(chuàng)建用戶ytt11,ytt12.
mysql create user ytt11,ytt12;
Query OK, 0 rows affected (0.01 sec)
mysql grant select on ytt_new.* to ytt11;
Query OK, 0 rows affected (0.01 sec)
-- 把ytt11普通用戶的權限授予給ytt12
mysql grant ytt11 to ytt12;
Query OK, 0 rows affected (0.01 sec)
-- 來查看 ytt12的權限,可以看到擁有了ytt11的權限
mysql show grants for ytt12;
+-----------------------------------+
| Grants for ytt12@% ? ? ? ? ? ? ? ?|
+-----------------------------------+
| GRANT USAGE ON *.* TO `ytt12`@`%` |
| GRANT `ytt11`@`%` TO `ytt12`@`%` ?|
+-----------------------------------+
2 rows in set (0.00 sec)
-- 在細化點�,看看ytt12擁有哪些具體的權限
mysql show grants for ytt12 using ytt11;
+--------------------------------------------+
| Grants for ytt12@% ? ? ? ? ? ? ? ? ? ? ? ? |
+--------------------------------------------+
| GRANT USAGE ON *.* TO `ytt12`@`%` ? ? ? ? ?|
| GRANT SELECT ON `ytt_new`.* TO `ytt12`@`%` |
| GRANT `ytt11`@`%` TO `ytt12`@`%` ? ? ? ? ? |
+--------------------------------------------+
3 rows in set (0.00 sec)
示例 7:角色的撤銷
角色撤銷和之前權限撤銷類似�。要么 revoke���,要么刪除角色�,那這個角色會從所有擁有它的用戶上移除。
-- 用管理員登錄���,移除ytt2的角色
mysql revoke db_datareader from ytt2;
Query OK, 0 rows affected (0.01 sec)
-- 刪除所有角色
mysql drop role db_owner,db_datareader,db_datawriter;
Query OK, 0 rows affected (0.01 sec)
-- 對應的角色也從ytt1上移除掉了
mysql show grants for ytt1;
+----------------------------------+
| Grants for ytt1@% ? ? ? ? ? ? ? ?|
+----------------------------------+
| GRANT USAGE ON *.* TO `ytt1`@`%` |
+----------------------------------+
1 row in set (0.00 sec)
至此����,我分了 7 個目錄說明了角色在各個方面的使用以及注意事項,希望對大家有幫助。
Mysql RBAC權限控制數據庫設計(簡潔版:4張表)
RBAC 是基于角色的訪問控制( Role-Based Access Control )在 RBAC中,權限與角色相關聯�,用戶通過成為適當角色的成員而得到這些角色的權限����。這就極大地簡化了權限的管理���。這樣管理都是層級相互依賴的�,權限賦予給角色,而把角色又賦予用戶,這樣的權限設計很清楚����,管理起來很方便�。
在RBAC中有3個基礎組成標����,分別是: 用戶 (登錄賬號)、 角色 和 權限 (菜單節(jié)點)�,加一個 角色權限關系表
它們之間的關系如下圖所示:
mysql 權限設置
背景
在了解動態(tài)權限之前�,我們先回顧下 MySQL 的權限列表����。
權限列表大體分為服務級別和表級別,列級別以及大而廣的角色(也是MySQL 8.0 新增)存儲程序等權限。我們看到有一個特殊的 SUPER 權限�,可以做好多個操作�。比如 SET 變量���,在從機重新指定相關主機信息以及清理二進制日志等���。那這里可以看到���,SUPER 有點太過強大����,導致了僅僅想實現子權限變得十分困難���,比如用戶只能 SET 變量����,其他的都不想要。那么 MySQL 8.0 之前沒法實現���,權限的細分不夠明確,容易讓非法用戶鉆空子。
那么 MySQL 8.0 把權限細分為靜態(tài)權限和動態(tài)權限,下面我畫了兩張詳細的區(qū)分圖����,圖 1 為靜態(tài)權限�,圖 2 為動態(tài)權限。
圖 1- MySQL 靜態(tài)權限的權限管理圖
圖 2-動態(tài)權限圖
那我們看到其實動態(tài)權限就是對 SUPER 權限的細分。 SUPER 權限在未來將會被廢棄掉。
我們來看個簡單的例子���,
比如, 用戶 'ytt2@localhost', 有 SUPER 權限。
mysql show grants for ytt2@'localhost';+---------------------------------------------------------------------------------+| Grants for ytt2@localhost ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? |+---------------------------------------------------------------------------------+| GRANT INSERT, UPDATE, DELETE, CREATE, ALTER, SUPER ON *.* TO ytt2@localhost |+---------------------------------------------------------------------------------+1 row in set (0.00 sec)
但是現在我只想這個用戶有 SUPER 的子集���,設置變量的權限。那么單獨給這個用戶賦予兩個能設置系統變量的動態(tài)權限,完了把 SUPER 給拿掉����。
mysql grant session_variables_admin,system_variables_admin on *.* to ytt2@'localhost';Query OK, 0 rows affected (0.03 sec)mysql revoke super on *.* from ytt2@'localhost';Query OK, 0 rows affected, 1 warning (0.02 sec)
我們看到這個 WARNINGS 提示 SUPER 已經廢棄了�。
mysql show warnings;
+---------+------+----------------------------------------------+
| Level ? | Code | Message ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?|
+---------+------+----------------------------------------------+
| Warning | 1287 | The SUPER privilege identifier is deprecated |
+---------+------+----------------------------------------------+
1 row in set (0.00 sec)`
mysql show grants for ytt2@'localhost';
+-----------------------------------------------------------------------------------+
| Grants for ytt2@localhost ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? |
+-----------------------------------------------------------------------------------+
| GRANT INSERT, UPDATE, DELETE, CREATE, ALTER ON *.* TO ytt2@localhost ? ? ? ? ?|
| GRANT SESSION_VARIABLES_ADMIN,SYSTEM_VARIABLES_ADMIN ON *.* TO ytt2@localhost |
+-----------------------------------------------------------------------------------+
2 rows in set (0.00 sec)
當然圖 2 上還有其它的動態(tài)權限���,這里就不做特別說明了����。
簡述構成mysql權限控制步驟
1、mysql的權限是,從某處來的用戶對某對象的權限�。
2、mysql的權限采用白名單策略���,指定用戶能做什么,沒有指定的都不能做�。
3�、權限校驗分成兩個步驟:
a�、能不能連接,檢查從哪里來���,用戶名和密碼,常見錯誤 ERROR 1045 (28000): Access denied for user ...
b���、能不能執(zhí)行操作,粒度從粗到細�,分別為:mysql.user, mysql.db, msql.tables_priv, mysql.columns_priv, mysql.proc_priv���。
需要注意的是���,這些表各有分工�,但是在權限分配上有一定的重合���。
可以這樣理解�,mysql 先檢查對大范圍是否有權限,如果沒有再到小范圍里去檢查����。比如:先檢查對這個數據庫是否有select權限�,如果有���,就允許執(zhí)行����。如果沒有,再檢查對表是否有select權限���,一直到最細粒度���,也沒有權限�,就拒絕執(zhí)行。舉例來說:要檢查張三能否控制一個團,我只要先檢查張三能否控制一個軍,如果可以���,就是有權限,如果不行,再檢查張三能否控制一個師���。因此,粒度控制越細����,權限校驗的步驟越多�,性能越差�,需要考慮。
4�、mysql服務啟動之后����,就會把權限有關的表的數據讀到內存中�,對權限做的修改,是否會即時生效���?要看情況,手動修改表數據,需要 flush privileges
5、創(chuàng)建用戶 create user���,修改密碼 set password�,注意 alter user只是設置密碼過期���,可以登錄����,但是不能執(zhí)行任何操作,必須從新設置密碼�,刪除用戶 drop user
6�、host+user 標示唯一的一個用戶����,也就是說都叫張三����,從不同地方來的張三是兩個用戶,他們有不同的權限����。
7����、那么問題來了�,表中有兩條記錄:'root'@'192.168.1.101' 和 'root'@'%', 現在root來登錄,mysql 怎么匹配呢?認為是哪個root呢���?
mysql 對用戶進行了排序,先對host排序,再對user排序,小范圍在前面,大范圍在后面���,從上往下匹配。
8、權限授予�,grant 權限 on 對象 to 用戶@哪里來 identified by 密碼
9�、收回權限�,revoke 權限 on 對象 from 用戶@哪里來,注意revoke 必須要與grant 對應,也就是說,只能收回授予的權限����。
10���、那么問題來了�,我授予張三 select的權限�,現在revoke all privileges 也不能收回張三select的權限,因為沒有對張三 grant all privileges,怎么解決這個問題����?
使用 revoke all privileges����,grant option from user
11�、權限級別:從某臺主機來的某個用戶�,對某個數據庫中某個表的某些列的某部分記錄,是否有權限���。
12、全局:對象是mysql服務的所有數據庫�,包含服務級的管理權限�,比如showdown
13���、數據庫:對象是某一個數據庫
14�、表:對象是數據庫中某個表
15、列:對象是表中的某個列���,比如:grant select (name) on xxx to xxx
16、程序:對象是存儲過程和方法����。
17����、information_scheme����,數據庫和表是存放數據的,那么誰來存放 數據庫和表這些信息呢�? information_scheme 就是記錄數據庫和表的����,需要注意的是,infromation_scheme沒有對應的物理文件����,它是mysql在內存中維護的���。
18、權限設定原則:
a����、盡量縮小權限
b�、按業(yè)務���,分離用戶���,不同的業(yè)務對應不同的用戶
c�、避免權限粒度太細,因為mysql權限檢查���,會影響性能。
19����、文件泄密���,linux下mysql客戶端執(zhí)行的操作記錄在文件 ~/.mysql_history中���,輸出重定向/dev/null
20�、密碼丟失怎么辦���?
a�、mysql啟動,增加選項重置密碼
b����、mysql啟動����,增加選項不檢查權限�,登陸后修改密碼����,退出重啟啟動。
mysql怎么授予創(chuàng)建數據庫的權限
MySQL命令行能否實現新建用戶呢���?答案無疑是肯定的。而且在使用使用MySQL命令行新建用戶后�,還可以為用戶授予權限���。
首先要聲明一下:一般情況下�,修改MySQL密碼���,授權�,是需要有mysql里的root權限的。
注:本操作是在WIN命令提示符下,phpMyAdmin同樣適用����。
用戶:phplamp
用戶數據庫:phplampDB
1.MySQL命令行新建用戶
//登錄MYSQL
@mysql -u root -p
@密碼
//創(chuàng)建用戶
mysql insert into mysql.user(Host,User,Password) values('localhost','phplamp',password('1234'));
//刷新系統權限表
mysqlflush privileges;
這樣就創(chuàng)建了一個名為:phplamp 密碼為:1234 的用戶���。
//退出后登錄一下
mysqlexit;
@mysql -u phplamp -p
@輸入密碼
mysql登錄成功
2.MySQL命令行為用戶授權
//登錄MYSQL(有ROOT權限)����。我里我以ROOT身份登錄.
@mysql -u root -p
@密碼
//首先為用戶創(chuàng)建一個數據庫(phplampDB)
mysqlcreate database phplampDB;
//授權phplamp用戶擁有phplamp數據庫的所有權限
@grant all privileges on phplampDB.* to phplamp@localhost identified by '1234'; //這里需要注意����,如果發(fā)現找不到用戶,需要執(zhí)行命令 flush privilieges;
//刷新系統權限表
mysqlflush privileges;
mysql其它操作
//如果想指定部分權限給一用戶����,可以這樣來寫:
mysqlgrant select,update on phplampDB.* to phplamp@localhost identified by '1234';
//刷新系統權限表�。
mysqlflush privileges;
mysql grant 權限1,權限2,…權限n on 數據庫名稱.表名稱 to 用戶名@用戶地址 identified by ‘連接口令’;
權限1,權限2,…權限n代表select,insert,update,delete,create,drop,index,alter,grant,references,reload,shutdown,process,file等14個權限���。
當權限1,權限2,…權限n被all privileges或者all代替�,表示賦予用戶全部權限。
當數據庫名稱.表名稱被*.*代替,表示賦予用戶操作服務器上所有數據庫所有表的權限���。
用戶地址可以是localhost,也可以是ip地址、機器名字����、域名�。也可以用’%'表示從任何地址連接�。
‘連接口令’不能為空,否則創(chuàng)建失敗。
例如:
mysqlgrant select,insert,update,delete,create,drop on vtdc.employee to joe@10.163.225.87 identified by ‘123′;
給來自10.163.225.87的用戶joe分配可對數據庫vtdc的employee表進行select,insert,update,delete,create,drop等操作的權限,并設定口令為123。
mysqlgrant all privileges on vtdc.* to joe@10.163.225.87 identified by ‘123′;
給來自10.163.225.87的用戶joe分配可對數據庫vtdc所有表進行所有操作的權限���,并設定口令為123。
mysqlgrant all privileges on *.* to joe@10.163.225.87 identified by ‘123′;
給來自10.163.225.87的用戶joe分配可對所有數據庫的所有表進行所有操作的權限,并設定口令為123����。
mysqlgrant all privileges on *.* to joe@localhost identified by ‘123′;
給本機用戶joe分配可對所有數據庫的所有表進行所有操作的權限�,并設定口令為123����。
網站名稱:mysql怎么樣寫權限表 mysql用戶權限表
網站路徑:
http://www.yuzhuanjia.cn/article/hehjoo.html
