MySQL - 用戶權限控制和密碼策略

原創 osc_qnf5stcu 2021-01-30 09:58

項目安全測試時發現數據庫用戶權限不合理,並且缺失密碼複雜度校驗,So藉機學習一波


環境信息

root@505e4d918942:~# mysql -V
mysql  Ver 14.14 Distrib 5.7.32, for Linux (x86_64) using  EditLine wrapper

設置用戶權限

例: 新增suhw用戶,只給訪問suhw_db數據庫的權限

mysql> create user suhw;
Query OK, 0 rows affected (0.00 sec)

# 創建數據庫
mysql> create database suhw_db;
Query OK, 1 row affected (0.00 sec)

# 賦予權限
mysql> grant all privileges on suhw_db.* to suhw@"%" identified by "111";
Query OK, 0 rows affected, 1 warning (0.00 sec)

# 刷新權限
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

此時使用suhw用戶進來就只能看到information_schemasuhw_db

information_schema是隻要用戶建立後就能看到的,該數據庫記錄的是用戶被授權的信息,information_schema庫的表是隻讀表,其實是視圖。如COLUMNS表(視圖)就記錄了該用戶擁有權限的數據庫表和列的信息

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| suhw_db            |
+--------------------+
2 rows in set (0.00 sec)

grant用法

grant [權限1,權限2...] on 某庫.某表 to 新用戶名@'主機名/IP地址' [identified by '密碼'];

  1. 新建一個用戶,讓他可以擁有所有庫的所有權限

    grant all privileges on *.* to suhw@"%" ;

    其中*.*就表明了所有庫的所有表

  2. 新建一個用戶,讓他可以擁有suhw_db庫的所有權限

    grant all privileges on suhw_db.* to suhw@"%" ;

  3. 新建一個只能對suhw_db庫中的表進行SELECTUPDATE操作的用戶

    grant SELECT, UPDATE privileges on suhw_db.* to suhw@"%";

  4. 新建一個對shuw_db庫中test表只有SELECT操作權限的用戶

    grant SELECT privileges on suhw_db.test to suhw@"%";

查看用戶權限

mysql> show grants for suhw@"%";
+---------------------------------------------------+
| Grants for suhw@%                                 |
+---------------------------------------------------+
| GRANT USAGE ON *.* TO 'suhw'@'%'                  |
| GRANT ALL PRIVILEGES ON `suhw_db`.* TO 'suhw'@'%' |
+---------------------------------------------------+
2 rows in set (0.00 sec)

可以查看mysql.db查看對應權限

mysql> select * from db where User='suhw'\G
*************************** 1. row ***************************
                 Host: %
                   Db: suhw_db
                 User: suhw
          Select_priv: Y
          Insert_priv: Y
          Update_priv: Y
          Delete_priv: Y
          Create_priv: Y
            Drop_priv: Y
           Grant_priv: N
      References_priv: Y
           Index_priv: Y
           Alter_priv: Y
Create_tmp_table_priv: Y
     Lock_tables_priv: Y
     Create_view_priv: Y
       Show_view_priv: Y
  Create_routine_priv: Y
   Alter_routine_priv: Y
         Execute_priv: Y
           Event_priv: Y
         Trigger_priv: Y
1 row in set (0.02 sec)

除了可以通過mysql.db查看用戶對於數據庫的權限以外,還有user表和tables_priv表都可查看

表名 作用
user 查看登錄到MySQL的用戶信息
db 查看哪些用戶擁有哪些數據庫的對應權限
tables_priv 查看用戶擁有那些表的操作權限

可以通過db表來控制一個用戶對整個數據庫的操作權限,也可通過tables_priv更細緻的劃分對於某個表的權限


設置密碼策略

由於安全測試中不允許MySQL賬戶設置弱密碼(例如111), 所以就需要考慮使用validate_password插件來完成此功能

  1. 查看是否安裝validate_password
mysql> show plugins;
+----------------------------+----------+--------------------+---------+---------+
| Name                       | Status   | Type               | Library | License |
+----------------------------+----------+--------------------+---------+---------+
| binlog                     | ACTIVE   | STORAGE ENGINE     | NULL    | GPL     |
| mysql_native_password      | ACTIVE   | AUTHENTICATION     | NULL    | GPL     |
| sha256_password            | ACTIVE   | AUTHENTICATION     | NULL    | GPL     |
| CSV                        | ACTIVE   | STORAGE ENGINE     | NULL    | GPL     |
...
  1. 若沒有,查看插件存放目錄
mysql> show variables like 'plugin_dir';
+---------------+------------------------+
| Variable_name | Value                  |
+---------------+------------------------+
| plugin_dir    | /usr/lib/mysql/plugin/ |
+---------------+------------------------+
1 row in set (0.01 sec)

發現對應路徑下有我們所需要的validate_password.so,直接安裝即可

  1. 安裝
mysql> install plugin validate_password soname 'validate_password.so';
Query OK, 0 rows affected (0.07 sec)
  1. 查看安裝結果
mysql> show variables like 'validate_password%';
+--------------------------------------+--------+
| Variable_name                        | Value  |
+--------------------------------------+--------+
| validate_password_check_user_name    | OFF    |
| validate_password_dictionary_file    |        |
| validate_password_length             | 8      |
| validate_password_mixed_case_count   | 1      |
| validate_password_number_count       | 1      |
| validate_password_policy             | MEDIUM |
| validate_password_special_char_count | 1      |
+--------------------------------------+--------+
7 rows in set (0.00 sec)

安裝完成後,默認採用MEDIUM策略


變量含義說明

字段 說明
validate_password_check_user_name 設置爲ON的時候表示能將密碼設置成當前用戶名。
validate_password_dictionary_file 用於檢查密碼的字典文件的路徑名。
validate_password_length 所需密碼的最小字符數。
validate_password_mixed_case_count 密碼中大小寫字符個數
validate_password_number_count 密碼中數字個數
validate_password_policy 密碼策略
validate_password_special_char_count 特殊字符個數

此時修改弱密碼試試

mysql> set password for suhw@"%" = password("111");
ERROR 1819 (HY000): Your password does not satisfy the current policy requirement

換一個符合密碼複雜度的密碼

mysql> set password for suhw@"%" = password("Aa@123456");
Query OK, 0 rows affected, 1 warning (0.01 sec)

至此密碼策略生效


參考

  1. https://www.cnblogs.com/alonely/p/10927541.html
  2. https://www.yiibai.com/mysql/grant.html








發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

從NoSQL到NewSQL——10年代大數據浪潮下的技術革新

引言     在數字化浪潮的推動下,數據庫技術已成爲支撐數字經濟的堅實基石。騰訊雲 TVP《技術指針》聯合《明說三人行》特別策劃的直播系列——【中國數據庫前世今生】,我們將通過五期直播,帶您穿越五個十年,深入探討每個時代的數據庫演變

原創 2024-04-28 23:12:26

MySQL查出時間比實際晚8小時的解決方案

查詢出來的日期數據比數據庫中日期數據晚8小時,一開始很懵逼,IDEA 和 server 時區都一樣呢!後來發現: jdbcUrl=jdbc:mysql://localhost:hentai?useUnicode=true&character

原創 2024-04-27 01:09:40

clickhouse vs starRocks|||

比對結論 如果只能單機部署的話,clickhouse基本無敵。 如果集羣化,starRocks可以替換clickhouse,但支持的函數會相對少一些(clickhouse有不少自定義函數) 信息比對 功能 clickhouse

原創 2024-04-26 11:25:43

從零開始學架構V2-架構設計流程-2

一、架構設計流程 架構的設計的是爲了降低整體的複雜性,那麼架構設計的第一步就是熟悉業務,識別其中的核心訴求,僅考慮技術的話就是識別複雜度。 1.1 識別複雜度 架構的複雜度主要來源於第一節中介紹的“高性能”“高可用”“可擴展”等幾個方面,實

原創 2024-04-25 23:56:26

從零開始學架構V2-初識架構設計-1

一、架構設計的主要目的 爲了解決軟件系統複雜度帶來的問題 二、複雜性來源 軟件的架構設計是一個非常複雜的過程;基於業務&技術現狀、公司成本、團隊規模、團隊技術能力、近三年業務發展規模預測、技術發展趨勢等條件篩選出合適的技術、編寫多種架構設計

原創 2024-04-25 23:56:25

MySQL 核心模塊揭祕 | 15 期 | 事務模塊小結

✍ 專欄小結 1 月 3 日,我在社區發佈事務模塊的第一篇文章;4 月 17 日,發佈了最後一篇文章。歷時 3 個半月,用 14 篇文章對事務模塊做了比較全面的介紹。 本文我們對事務模塊已經發布的 14 篇文章做個簡單回顧。 01 期《事

原創 2024-04-24 23:20:56

一則 TCP 緩存超負荷導致的 MySQL 連接中斷的案例分析

除了 MySQL 本身之外,如何分析定位其他因素的可能性? 作者:龔唐傑,愛可生 DBA 團隊成員,主要負責 MySQL 技術支持,擅長 MySQL、PG、國產數據庫。 愛可生開源社區出品,原創內容未經授權不得隨意使用,轉載請聯繫小編並註

原創 2024-04-24 23:20:53

DataGear 5.0.0 發佈,數據可視化分析平臺

DataGear 企業版 1.1.0 已發佈,歡迎瞭解試用! http://datagear.tech/pro/ DataGear 5.0.0 發佈,核心功能重構,新增圖表追加更新模式,具體更新內容如下: 重構:【圖表數據集】概念和設計

原創 2024-04-24 21:42:05

DataGear 企業版 1.1.0 發佈,數據可視化分析平臺

DataGear 企業版 1.1.0 正式發佈,歡迎大家瞭解試用! http://datagear.tech/pro/ 企業版 1.1.0 新增了MQTT、WebSocket實時數據集功能,新增了Redis、MongoDB數據集功能,具體更

原創 2024-04-24 21:42:05

MySQL死鎖排查,原來我一直沒懂。。。

喜大普奔,微信給我的公衆號開了留言功能!!!有緣看到這篇文章的朋友,可以留個言互動下,謝謝~ 最近線上偶發MySQL的死鎖異常,發現原來很多理論都只背了個結論,細節都是魔鬼。 比如,MySQL在RR級別用gap lock防止幻讀,

原創 2024-04-23 23:10:58

告別手動調度,海豚調度器 3.1.x 集羣部署讓你輕鬆管理多機!

轉載自第一片心意 1 前言 由於海豚調度器官網的集羣部署文檔寫的較亂,安裝過程中需要跳轉到很多地方進行操作,所以自己總結了一篇可以直接跟着從頭到尾進行操作的文檔,以方便後續的部署、升級、新增節點、減少節點的相關操作。 2. 提前準備 2.

原創 2024-04-23 21:18:20

MyDumper “喜歡” 觸發器麼?

是的,但現在它更“喜歡”它們,原因如下。 介紹 使用 LIKE 子句過濾特定表中的觸發器或視圖很常見。但是,它可能會欺騙您,特別是如果您看不到輸出(即在非交互式會話中)。讓我們看一個簡單的例子,以及如何以更可靠的方式處理任務。還有一個指向

原創 2024-04-22 23:19:50

windows 安裝 mysql8.0 服務免安裝版

1. 官網下載 mysql 文件 點擊下載 2. 解壓下載好的 ZIP 文件,到自己喜歡的位置 3. 在 mysql-8.0.36-winx64 文件夾下新建 my.ini 文件。內容參考如下: [mysqld] # 設置3313端口

原創 2024-04-20 11:23:47

MySQL 創建表後神祕消失?揭祕零寬字符陷阱

三招教你解決零寬字符陷阱,讓你的數據庫不再”鬧鬼“。 作者:秦福朗,愛可生 DBA 團隊成員,負責項目日常問題處理及公司平臺問題排查。熱愛互聯網,會攝影、懂廚藝,不會廚藝的 DBA 不是好司機,didi~ 愛可生開源社區出品,原創內容未經

原創 2024-04-19 23:21:06

工程中實踐的微服務設計模式

最近在讀《微服務架構設計模式》,開始的時候我非常的好奇,因爲在我印象中,設計模式是常說的那23種設計模式,而微服務的設計模式又是什麼呢?這個問題也留給大家,在文末我會附上我對這個問題的理解。本次文章的內容主要是工作中對微服務設計模式的應

原創 2024-04-19 23:17:23