快速掌握 MySQL 授權表運維注意事項

原創 原創 2024-03-20 12:05

普通用戶有MySQL鑑權表的訪問權限帶來的風險。

作者:餘振興,愛可生 DBA 團隊成員,熱衷技術分享、編寫技術文檔。

愛可生開源社區出品,原創內容未經授權不得隨意使用,轉載請聯繫小編並註明來源。

本文共 1100 字,預計閱讀需要 3 分鐘。

基礎背景

我們在做權限授權時需要給到應用用戶增刪改查權限,比如下面的授權語句。這樣的好處是當實例創建多個業務庫時,無需再次給新的業務庫授權,該權限默認對所有庫有增刪改查權限,主打一個方便,但實際這種授權方式會帶來較大的權限風險,甚至導致數據庫被攻擊破壞。

create user 'app'@'%' identified by 'app';
grant select,update,delete,insert on *.* to 'app'@'%';

演示驗證

我們基於以上的授權來做一個業務用戶 提權(自己給自己增加額外的權限)操作,下面是操作的時序表格(建議 PC 端查看)。

場景1

管理用戶觸發 flush privileges 刷新內存授權表觸發提權。

操作/用戶 root 用戶 app 用戶
登錄 mysql -S /data/mysql/3306/data/mysqld.sock mysql -h127.0.0.1 -uapp -papp -P3306
app 用戶給自己提權。這裏,update 成功了,但由於缺少 reload 或 super 權限,導致刷新到內存中失敗了。 mysql> update mysql.user set Select_priv='Y',Insert_priv='Y',Update_priv='Y',Delete_priv='Y',Create_priv='Y',Drop_priv='Y',Reload_priv='Y',Shutdown_priv='Y',Process_priv='Y',File_priv='Y',Grant_priv='Y',References_priv='Y',Index_priv='Y',Alter_priv='Y',Show_db_priv='Y',Super_priv='Y',Lock_tables_priv='Y' where user='app' and host='%';<br><br>Query OK, 1 row affected (0.01 sec)<br>Rows matched: 1 Changed: 1 Warnings: 0<br><br>mysql> flush privileges;<br>ERROR 1227 (42000): Access denied; you need (at least one of) the RELOAD privilege(s) for this operation
重啓數據庫 mysql> flush privileges;<br>Query OK, 0 rows affected (0.00 sec)
app 用戶重新登錄數據庫查看自己的權限,提權成功。 mysql> show grants\G<br>*************************** 1. row ***************************<br>Grants for app@%: GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, SHUTDOWN, PROCESS, FILE, REFERENCES, INDEX, ALTER, SHOW DATABASES, SUPER, LOCK TABLES ON . TO app@% WITH GRANT OPTION<br>1 row in set (0.00 sec)

場景2

重啓數據庫重新加載授權表到內存觸發提權。

操作/用戶 root 用戶 app 用戶
登錄 mysql -S /data/mysql/3306/data/mysqld.sock mysql -h127.0.0.1 -uapp -papp -P3306
app用戶給自己提權,這裏,update成功了,但由於缺少reload或super權限,導致刷新到內存中失敗了。 mysql> update mysql.user set Select_priv='Y',Insert_priv='Y',Update_priv='Y',Delete_priv='Y',Create_priv='Y',Drop_priv='Y',Reload_priv='Y',Shutdown_priv='Y',Process_priv='Y',File_priv='Y',Grant_priv='Y',References_priv='Y',Index_priv='Y',Alter_priv='Y',Show_db_priv='Y',Super_priv='Y',Lock_tables_priv='Y' where user='app' and host='%';<br><br>Query OK, 1 row affected (0.01 sec)<br>Rows matched: 1 Changed: 1 Warnings: 0<br><br>mysql> flush privileges;<br>ERROR 1227 (42000): Access denied; you need (at least one of) the RELOAD privilege(s) for this operation
重啓數據庫 mysql> restart;<br>Query OK, 0 rows affected (0.00 sec)
app 用戶重新登錄數據庫查看自己的權限,提權成功。 mysql> show grants\G<br>*************************** 1. row ***************************<br>Grants for app@%: GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, SHUTDOWN, PROCESS, FILE, REFERENCES, INDEX, ALTER, SHOW DATABASES, SUPER, LOCK TABLES ON . TO app@% WITH GRANT OPTION<br>1 row in set (0.00 sec)

場景總結

  • 給普通用戶授予 MySQL 鑑權相關表的權限均會帶來風險
    • 備註:鑑權表除了 user 表,還包括 dbcolumns_privtables_privprocs_privproxies_priv 表。
  • 即使只對鑑權表授予只讀權限,如 user 表,也會被獲取到 authentication_string 字段的密文串,通過其他方式做密碼庫匹配破解。
    • 曾經遇到過一個場景,普通用戶僅有 user 的查詢權限,其通過查詢該表信息發現 root@localhost 用戶密碼爲空,於是直接用 root 用戶訪問數據庫,類似於進行了提權操作。

規避方式

  • 不要對非管理員用戶授予任何鑑權表的訪問權限,即使是隻讀權限。
  • 授權遵循最小權限原則。
  • MySQL 8.0 增加了回收部分權限的參數 partial_revokes,可單獨將 mysql 庫的權限回收。示例如下:
-- 創建app用戶並授予所有數據庫增刪改查權限
create user 'app'@'%' identified by 'app';
grant select,update,delete,insert on *.* to 'app'@'%';

-- 開啓部分權限回收的參數
set global partial_revokes=on;

-- 單獨回收app用戶對mysql庫的權限
revoke select,update,delete,insert on mysql.* from 'app'@'%';

-- 查看當前app用戶的授權信息
-- 這裏的權限是以交集的形式存在,必須兩者都滿足
show grants for app;
+-------------------------------------------------------------------+
| Grants for app@%                                                  |
+-------------------------------------------------------------------+
| GRANT SELECT, INSERT, UPDATE, DELETE ON *.* TO `app`@`%`          |
| REVOKE SELECT, INSERT, UPDATE, DELETE ON `mysql`.* FROM `app`@`%` |
+-------------------------------------------------------------------+

-- 以app用戶登錄數據庫訪問mysql.user表,報錯無權限
mysql> select user,host from mysql.user;
ERROR 1142 (42000): SELECT command denied to user 'app'@'127.0.0.1' for table 'user'

更多技術文章,請訪問:https://opensource.actionsky.com/

關於 SQLE

SQLE 是一款全方位的 SQL 質量管理平臺,覆蓋開發至生產環境的 SQL 審覈和管理。支持主流的開源、商業、國產數據庫,爲開發和運維提供流程自動化能力,提升上線效率,提高數據質量。

SQLE 獲取

類型 地址
版本庫 https://github.com/actiontech/sqle
文檔 https://actiontech.github.io/sqle-docs/
發佈信息 https://github.com/actiontech/sqle/releases
數據審覈插件開發文檔 https://actiontech.github.io/sqle-docs/docs/dev-manual/plugins/howtouse
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

6個實例帶你解讀TinyVue 組件庫跨框架技術

本文分享自華爲雲社區《6個實例帶你解讀TinyVue 組件庫跨框架技術》,作者: 華爲雲社區精選。 在DTSE Tech Talk 《 手把手教你實現mini版TinyVue組件庫 》的主題直播中,華爲雲前端開發DTSE技術佈道師阿健老師給

原創 2024-04-26 10:33:20

DataGear 5.0.0 新特性之dgMap圖表選項

DataGear 企業版 1.1.0 已發佈! http://datagear.tech/pro/ DataGear在新發布的 5.0.0 版本中,重構了地圖類圖表,新增了dgMap圖表選項,可以更方便靈活地設置圖表地圖。 在 5.0.0

原創 2024-04-26 21:42:31

StarRocks 文檔

https://docs.starrocks.io/zh/docs/introduction/what_is_starrocks/

原創 2024-04-26 11:25:46

StarRocks v2.0.1 測試使用報告

1. 測試背景 starrocks 2.0.1版本使用低基數全局字典優化後,性能有很大提升,這是準備重點測試部分,測試後對於聚合sql有明顯的性能提升。當然企業中統計分析中多維數據分析的場景也比較多,有助於整體的性能提升,大家可以規劃合適

原創 2024-04-26 11:25:42

使用前端技術創建 QR 碼生成器 API

前言 QR碼(Quick Response Code)是一種二維碼,於1994年開發。它能快速存儲和識別數據,包含黑白方塊圖案,常用於掃描獲取信息。QR碼具有高容錯性和快速讀取的優點,廣泛應用於廣告、支付、物流等領域。通過掃描QR碼,用戶可

原創 2024-04-25 22:23:53

MySQL查出時間比實際晚8小時的解決方案

查詢出來的日期數據比數據庫中日期數據晚8小時,一開始很懵逼,IDEA 和 server 時區都一樣呢!後來發現: jdbcUrl=jdbc:mysql://localhost:hentai?useUnicode=true&character

原創 2024-04-27 01:09:40

clickhouse vs starRocks|||

比對結論 如果只能單機部署的話,clickhouse基本無敵。 如果集羣化,starRocks可以替換clickhouse,但支持的函數會相對少一些(clickhouse有不少自定義函數) 信息比對 功能 clickhouse

原創 2024-04-26 11:25:43

從零開始學架構V2-架構設計流程-2

一、架構設計流程 架構的設計的是爲了降低整體的複雜性,那麼架構設計的第一步就是熟悉業務,識別其中的核心訴求,僅考慮技術的話就是識別複雜度。 1.1 識別複雜度 架構的複雜度主要來源於第一節中介紹的“高性能”“高可用”“可擴展”等幾個方面,實

原創 2024-04-25 23:56:26

從零開始學架構V2-初識架構設計-1

一、架構設計的主要目的 爲了解決軟件系統複雜度帶來的問題 二、複雜性來源 軟件的架構設計是一個非常複雜的過程;基於業務&技術現狀、公司成本、團隊規模、團隊技術能力、近三年業務發展規模預測、技術發展趨勢等條件篩選出合適的技術、編寫多種架構設計

原創 2024-04-25 23:56:25

鴻蒙 如何發佈靜態共享包?

一、首先要創建一個靜態共享包 next即可。 然後在src同級目錄下,創建三個文件: 新建README.md文件:在README.md文件中必須包含包的介紹和引用方式,還可以根據包的內容添加更詳細介紹。 新建CHANGELOG.md文件

原創 2024-04-26 22:34:20

解決k3d或者k3s搭建k8s集羣在發佈鏡像過程中提示ImagePullBackOff問題

筆者嘗試在k3d搭建的k8s集羣中發佈tomcat服務,結果遲遲無法啓動,以下爲創建容器到解決的過程: 1. 發佈tomcat指令 kubectl create deployment tomcat --image=tomcat --port

原創 2024-04-26 21:13:35

centos7下Docker 安裝

Docker 是一個開源的商業產品,有兩個版本:社區版(Community Edition,縮寫爲 CE)和企業版(Enterprise Edition,縮寫爲 EE)。企業版包含了一些收費服務,個人開發者一般用不到。下面的介紹都針對社區

原創 2024-04-26 13:11:00

前端面試題 - redux與vuex的區別?

前端面試題 - redux與vuex的區別? redux使用的是不可變數據,每次都是用新的state替換舊的state,通過diff算法比較差異的;而Vuex是可變的,通過getter/setter直接修改。 另外就是在api上有不同,v

原創 2024-04-26 11:51:26

解決報錯pip:urllib3.exceptions.ReadTimeoutError: HTTPSConnectionPool

問題:pip:urllib3.exceptions.ReadTimeoutError: HTTPSConnectionPool   在使用pip install命令安裝第三方庫時經常會有下面這個報

原創 2024-04-26 00:42:45

HCDG天津站精彩回顧 | AI高效開發, ModelArts技術動手工作坊

4月20日, HCDG城市行·天津站——“極快至簡 靈活部署”我想象中的AI高效開發ModelArts技術工作坊圓滿舉辦。活動特邀來自華爲雲DTSE、華爲云云享專家、以及天津軟件技術協會的夥伴企業專家們爲與會開發者帶來一場別開生面的技術交流

原創 2024-04-25 22:33:41