MySQL - 用户权限控制和密码策略

原創 osc_qnf5stcu 2021-01-30 09:58

项目安全测试时发现数据库用户权限不合理,并且缺失密码复杂度校验,So借机学习一波


环境信息

root@505e4d918942:~# mysql -V
mysql  Ver 14.14 Distrib 5.7.32, for Linux (x86_64) using  EditLine wrapper

设置用户权限

例: 新增suhw用户,只给访问suhw_db数据库的权限

mysql> create user suhw;
Query OK, 0 rows affected (0.00 sec)

# 创建数据库
mysql> create database suhw_db;
Query OK, 1 row affected (0.00 sec)

# 赋予权限
mysql> grant all privileges on suhw_db.* to suhw@"%" identified by "111";
Query OK, 0 rows affected, 1 warning (0.00 sec)

# 刷新权限
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

此时使用suhw用户进来就只能看到information_schemasuhw_db

information_schema是只要用户建立后就能看到的,该数据库记录的是用户被授权的信息,information_schema库的表是只读表,其实是视图。如COLUMNS表(视图)就记录了该用户拥有权限的数据库表和列的信息

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| suhw_db            |
+--------------------+
2 rows in set (0.00 sec)

grant用法

grant [权限1,权限2...] on 某库.某表 to 新用户名@'主机名/IP地址' [identified by '密码'];

  1. 新建一个用户,让他可以拥有所有库的所有权限

    grant all privileges on *.* to suhw@"%" ;

    其中*.*就表明了所有库的所有表

  2. 新建一个用户,让他可以拥有suhw_db库的所有权限

    grant all privileges on suhw_db.* to suhw@"%" ;

  3. 新建一个只能对suhw_db库中的表进行SELECTUPDATE操作的用户

    grant SELECT, UPDATE privileges on suhw_db.* to suhw@"%";

  4. 新建一个对shuw_db库中test表只有SELECT操作权限的用户

    grant SELECT privileges on suhw_db.test to suhw@"%";

查看用户权限

mysql> show grants for suhw@"%";
+---------------------------------------------------+
| Grants for suhw@%                                 |
+---------------------------------------------------+
| GRANT USAGE ON *.* TO 'suhw'@'%'                  |
| GRANT ALL PRIVILEGES ON `suhw_db`.* TO 'suhw'@'%' |
+---------------------------------------------------+
2 rows in set (0.00 sec)

可以查看mysql.db查看对应权限

mysql> select * from db where User='suhw'\G
*************************** 1. row ***************************
                 Host: %
                   Db: suhw_db
                 User: suhw
          Select_priv: Y
          Insert_priv: Y
          Update_priv: Y
          Delete_priv: Y
          Create_priv: Y
            Drop_priv: Y
           Grant_priv: N
      References_priv: Y
           Index_priv: Y
           Alter_priv: Y
Create_tmp_table_priv: Y
     Lock_tables_priv: Y
     Create_view_priv: Y
       Show_view_priv: Y
  Create_routine_priv: Y
   Alter_routine_priv: Y
         Execute_priv: Y
           Event_priv: Y
         Trigger_priv: Y
1 row in set (0.02 sec)

除了可以通过mysql.db查看用户对于数据库的权限以外,还有user表和tables_priv表都可查看

表名 作用
user 查看登录到MySQL的用户信息
db 查看哪些用户拥有哪些数据库的对应权限
tables_priv 查看用户拥有那些表的操作权限

可以通过db表来控制一个用户对整个数据库的操作权限,也可通过tables_priv更细致的划分对于某个表的权限


设置密码策略

由于安全测试中不允许MySQL账户设置弱密码(例如111), 所以就需要考虑使用validate_password插件来完成此功能

  1. 查看是否安装validate_password
mysql> show plugins;
+----------------------------+----------+--------------------+---------+---------+
| Name                       | Status   | Type               | Library | License |
+----------------------------+----------+--------------------+---------+---------+
| binlog                     | ACTIVE   | STORAGE ENGINE     | NULL    | GPL     |
| mysql_native_password      | ACTIVE   | AUTHENTICATION     | NULL    | GPL     |
| sha256_password            | ACTIVE   | AUTHENTICATION     | NULL    | GPL     |
| CSV                        | ACTIVE   | STORAGE ENGINE     | NULL    | GPL     |
...
  1. 若没有,查看插件存放目录
mysql> show variables like 'plugin_dir';
+---------------+------------------------+
| Variable_name | Value                  |
+---------------+------------------------+
| plugin_dir    | /usr/lib/mysql/plugin/ |
+---------------+------------------------+
1 row in set (0.01 sec)

发现对应路径下有我们所需要的validate_password.so,直接安装即可

  1. 安装
mysql> install plugin validate_password soname 'validate_password.so';
Query OK, 0 rows affected (0.07 sec)
  1. 查看安装结果
mysql> show variables like 'validate_password%';
+--------------------------------------+--------+
| Variable_name                        | Value  |
+--------------------------------------+--------+
| validate_password_check_user_name    | OFF    |
| validate_password_dictionary_file    |        |
| validate_password_length             | 8      |
| validate_password_mixed_case_count   | 1      |
| validate_password_number_count       | 1      |
| validate_password_policy             | MEDIUM |
| validate_password_special_char_count | 1      |
+--------------------------------------+--------+
7 rows in set (0.00 sec)

安装完成后,默认采用MEDIUM策略


变量含义说明

字段 说明
validate_password_check_user_name 设置为ON的时候表示能将密码设置成当前用户名。
validate_password_dictionary_file 用于检查密码的字典文件的路径名。
validate_password_length 所需密码的最小字符数。
validate_password_mixed_case_count 密码中大小写字符个数
validate_password_number_count 密码中数字个数
validate_password_policy 密码策略
validate_password_special_char_count 特殊字符个数

此时修改弱密码试试

mysql> set password for suhw@"%" = password("111");
ERROR 1819 (HY000): Your password does not satisfy the current policy requirement

换一个符合密码复杂度的密码

mysql> set password for suhw@"%" = password("Aa@123456");
Query OK, 0 rows affected, 1 warning (0.01 sec)

至此密码策略生效


参考

  1. https://www.cnblogs.com/alonely/p/10927541.html
  2. https://www.yiibai.com/mysql/grant.html








發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

linux加载动态库失败

一般我們在Linux下執行某些外部程序的時候可能會提示找不到共享庫的錯誤, 比如: tmux: error while loading shared libraries: libevent-1.4.so.2: cannot open sha

mskk 2024-05-21 00:52:55

《一问一实验:AI 版》在 MySQL 日志中发现有大量报错,可能是什么原因造成的?

🥳 社區王牌專欄《一問一實驗:AI 版》全新歸來,在 520 這個充滿愛的特殊日子裏,獻上一份屬於 DBA 們的愛(AI)。 什麼是《一問一實驗》? 《一問一實驗》是愛可生開源社區的王牌專欄。每一期通過一個數據庫問題對應一組實驗的形式,

原創 2024-05-21 00:00:24

探讨篇(一):服务粒度的艺术 - 简化架构与避免服务泛滥

一、背景 上週小組有個需求上線牽扯9個應用(小組目前維護了26個服務,由於團隊系統業務屬性特徵基於高可用、高性能原則拆分,有些是合理的,有些不是很合理的),同時上週OpsReview的一個微服務濫用典範案例(Promise服務A調用服務B,

原創 2024-05-20 23:55:39

MySQL全文索引源码剖析之Insert语句执行过程

本文分享自華爲雲社區《MySQL全文索引源碼剖析之Insert語句執行過程》 ,作者:GaussDB 數據庫。 1. 背景介紹 全文索引是信息檢索領域的一種常用的技術手段,用於全文搜索問題,即根據單詞,搜索包含該單詞的文檔,比如在瀏覽器

原創 2024-05-20 10:59:15

Metabase 安装和使用教程

Metabase 是一款開源的數據分析和商業智能工具,允許企業用戶在幾分鐘內搭建起一個功能完善的數據探索和數據分析平臺,不需要編寫複雜的 SQL 查詢語句或者使用專業的數據可視化工具,就可以輕鬆地探索數據、創建圖表、構建儀表盤,從而洞察業務

原創 2024-05-17 21:16:51

MySQL 核心模块揭秘 | 16 期 | InnoDB 表锁

本文介紹了 InnoDB 支持哪幾類表鎖,以及它們分別都用在什麼場景下,還介紹了其中兩類表鎖爲什麼要存在。 作者:操盛春,愛可生技術專家,公衆號『一樹一溪』作者,專注於研究 MySQL 和 OceanBase 源碼。 愛可生開源社區出品,

原創 2024-05-17 12:02:59

聊聊MySQL是如何处理排序的

本文分享自華爲雲社區《MySQL怎樣處理排序⭐️如何優化需要排序的查詢?》,作者:菜菜的後端私房菜。 前言 在MySQL的查詢中常常會用到 order by 和 group by 這兩個關鍵字 它們的相同點是都會對字段進行排序,那查詢語句

原創 2024-05-16 10:58:48

MySQL 给用户添加 ALTER VIEW 的权限

本文分享自華爲雲社區《MySQL 給用戶添加 ALTER VIEW 的權限》,作者: 皮牙子抓飯。 MySQL 是一個廣泛使用的關係型數據庫管理系統,用於許多 Web 應用程序和企業級解決方案中。在 MySQL 中,用戶權限的管理是非常重要

原創 2024-05-15 23:00:44

高效调度新篇章:详解DolphinScheduler 3.2.0生产级集群搭建

轉載自tuoluzhe8521 導讀:通過簡化複雜的任務依賴關係, DolphinScheduler爲數據工程師提供了強大的工作流程管理和調度能力。在3.2.0版本中,DolphinScheduler帶來了一系列新功能和改進,使其在生產環

原創 2024-05-15 21:22:54

多点 Dmall x TiDB:出海多云多活架构下的 TiDB 运维实战

作者:多點,唐萬民 導讀 時隔 2 年, 在 TiDB 社區成都地區組織者馮光普老師的協助下,TiDB 社區線下地區活動再次來到成都。來自多點 Dmall 的國內數據庫負責人唐萬民老師,在《出海多雲架構,多點 TiDB 運維實戰》的主題分享

原創 2024-05-15 10:48:37

详解 MySQL 的 binlog 时间戳与 exec_time 的关系

詳解 binlog 時間戳與 exec_time 的關係。 作者:李錫超,蘇商銀行DBA,負責數據庫和中間件運維和建設。擅長 MySQL、Python、Oracle,愛好騎行、技術研究和分享。 愛可生開源社區出品,原創內容未經授權不得隨意

原創 2024-05-15 00:02:08

播放全链路压测实践之路

01 背 景  播放鏈路是愛奇藝最重要的業務,鏈路穩定性極其重要,隨着愛奇藝用戶的不斷增長和熱播劇集的推廣,播放鏈路往往面臨着難以預估的用戶流量的突增,考

愛奇藝技術產品團隊 2024-05-14 02:28:30

安装Mysql时遇到的一些疑难杂症!!!

安裝MYSQL時的一系列三大問題與三大解決方法 問題一: 問題二: 問題三: 問題一: 在安裝時候輸入 net start mysql 時候報錯爲: net不是內部或外部命令也不是可運行。 解決方法: 環境變量的問題

osc_hwc3munb 2024-05-14 02:04:37

TOP SQL监控之MySQL篇

MySQL的監控方式也有很多種: 慢查詢日誌slow_log 優點:MySQL自帶,記錄的慢SQL語句完整;缺點:需要登錄mysql服務器;如果slow_log文件太大,還需要利用其他工具分析日誌,比如mysqldumpslow; p

osc_r0irdqn7 2024-05-14 01:47:36

binlog的刷盘策略

mysql只有在事務提交的時候纔會記錄binlog日誌,此時日誌還在內存中,那binlog是什麼時候被刷到磁盤中的呢? mysql通過sync_binlog控制刷盤,取值範圍0~n 0:不強制要求刷盤,由系統自行判斷什麼時候將binlog寫

osc_5rzx0ke2 2024-05-14 00:46:36