[mysql]账户及权限管理
mysql初始账户管理
mysql的初始账户如下:
[sql] [root@lx16 ~]# mysql -u root mysql> select host,user,password from mysql.user; +-----------+------+----------+ | host | user | password | +-----------+------+----------+ | lx16 | root | | | 127.0.0.1 | root | | | ::1 | root | | | localhost | | | | lx16 | | | | localhost | root | | +-----------+------+----------+
mysql有两类初始用户:
root超级账户:拥有全部的权限,可以做任何事。
匿名账户:如何人都可以通过它连接服务器,但它权限很小。
在默认情况下,这些账户都没有口令,因此为了安全起见,我们首先必须得为所有的root账户设置密码。
设置密码的第一种方法是用set password语句,假如我们现在要给'root'@'localhost'设置口令,只要执行:
[sql] mysql> set password for 'root'@'localhost'=password('*****');
设置密码的第二种方法是直接update user权限表,这种方法的好处是可以同时给多个账户设置密码,如下面的语句可以一次修改所有root账户的密码:
[sql] mysql> update mysql.user set password=password('***') where user='root'; mysql> flush privileges;
如果用update方式修改,必须明确告诉服务器重新加载权限表(flush privileges)
对于匿名账户,强烈建议将他们删除,删除语句如下:
[sql] mysql> drop user ''@'localhost'; mysql> drop user ''@'lx16';
执行完以上操作之后,user权限表里的数据如下:
[sql] mysql> select host,user,password from mysql.user; +-----------+------+-------------------------------------------+ | host | user | password | +-----------+------+-------------------------------------------+ | lx16 | root | *578ec7851088ac1f2a67b100540344b03bd2ba99 | | 127.0.0.1 | root | *578ec7851088ac1f2a67b100540344b03bd2ba99 | | ::1 | root | *578ec7851088ac1f2a67b100540344b03bd2ba99 | | localhost | root | *578ec7851088ac1f2a67b100540344b03bd2ba99 | +-----------+------+-------------------------------------------+
创建新账户
mysql不仅要求你必须值得谁(user_name)能连接,还必须指定从什么地方连接(host_name),也就是说即便两个账户拥有相同的名字,如果他们将从不同客户端连接,你也要为它们各自创建一个账户。
可以利用以下两个通配符灵活配置主机名的限制:
‘%’ - 匹配任何多个字符
‘-’ - 配置一个字符
[sql] test账户可以从任意ip连接 create user 'test'@'%' identified by '***'; test账户只能从本地连接 create user 'test'@'localhost' identified by '***'; test账户只能从'192.168.2.%'网段连接 create user 'test'@'192.168.2.%' identified by '***'; 还可以使用ip掩码 create user 'test'@'192.168.2.2
权限管理
对账户授权需要使用grant语句,如果账户已存在,grant语句给它授权,如果账户不存在,grant语句先创建它,再给它授权。
可以通过show grants语句获得自己的权限:
[sql] mysql> show grants; +----------------------------------------------------------------------------------------------------------------------------------------+ | grants for root@localhost | +----------------------------------------------------------------------------------------------------------------------------------------+ | grant all privileges on *.* to 'root'@'localhost' identified by password '*578ec7851088ac1f2a67b100540344b03bd2ba99' with grant option | +----------------------------------------------------------------------------------------------------------------------------------------+
也可以通过show grants for 获得其它用户的权限:
[sql] mysql>show grants for ''@'localhost'; +--------------------------------------+ | grants for @localhost | +--------------------------------------+ | grant usage on *.* to ''@'localhost' | +--------------------------------------+
上面显示的是两种特殊权限,一种是all(后面的privileges关键字可省略),表示所有操作的权限(但不包括grant权限,grant权限由with grant option赋予);另一种是usage,一种特殊的“无权限”的权限。
在某些少数情况下,我们可能需要更细致的权限控制,mysql可以做到在列上进行授权,下面这条语句表示把全表的select权限给test,但只把(street,city)这两列的update权限给它:
[sql] grant select, update (street,city) on sampdb.member to 'test'@'localhost';
bitscn.com