数据库

本类阅读TOP10

译者：晏子 ([email protected])主页：http://linuxdb.yeah.net
6 MySQL 存取权限系统
MySQL有一个先进但非标准的安全/权限系统。本节描述它的工作原理。 

6.1 权限系统做什么
MySQL权限系统的主要功能是证实连接到一台给定主机的一个用户，并且赋予该用户在一个数据库上select、 insert、update和delete的权限。 

附加的功能包括有一个匿名的用户和对于MySQL特定的功能例如LOAD DATA INFILE进行授权及管理操作的能力。 

6.2 MySQL 用户名和口令
由MySQL使用用户名和口令的方法与Unix或Windows使用的方式有很多不同之处： 

• MySQL使用于认证目的的用户名，与Unix用户名(登录名字)或Windows用户名无关。缺省地，大多数MySQL客户尝试使用当前Unix用户名作为MySQL用户名登录，但是这仅仅为了方便。客户程序允许用-u或--user选项指定一个不同的名字，这意味着无论如何你不能使得一个数据库更安全，除非所有的MySQL用户名都有口令。任何人可以试图用任何名字连接服务器，而且如果他们指定了没有口令的任何名字，他们将成功。 
  
• MySQL用户名最长可以是16各字符；典型地，Unix用户名限制为8个字符。 
  
• MySQL口令与Unix口令没关系。在你使用登录到一台Unix机器口令和你使用在那台机器上存取一个数据库的口令之间没有必要有关联。 
  
• MySQL加密口令使用了一个Unix登录期间所用的不同算法，见7.4.12 杂项函数一节中描述PASSWORD()和ENCRYPT()函数部分。 
  

• 缺省主机名是localhost。 
  
• 缺省用户名是你的Unix登录名。 
  
• 如果没有-p，则没有提供口令。 
  

• 使用一个在命令行上-pyour_pass或--password=your_pass的选项。这很方便但是不安全，因为你的口令对系统状态程序(例如ps)变得可见，它可以被其他的用户调用来显示命令行。(一般MySQL客户在他们的初始化顺序期间用零覆盖命令行参数，但是仍然有一个短暂间隔时间内参数值可见的。） 
  
• 使用一个-p或--password选项(没有指定your_pass值)。在这种情况下，客户程序请求来自终端的口令： 
  shell>mysql - u  user_name - p
  Enter password: ********
  
  客户回应“*”字符到作为输入你的口令的终端使得旁观者不能看见它。因为它对其他用户不可见，与在命令行上指定它相比，这样进入你的口令更安全。然而，这个输入一个口令的方法仅仅为你交互式运行程序是合适的。如果你想要从非交互式运行的一个脚本调用一个客户，就没有从终端输入入口令的机会。 
  
  
• 
  在一个配置文件中存储你的口令。例如，你可你的主目录的“.my.cnf”文件中的[client]节列出你的口令： 
  [client]
  password=your_pass
  
  如果你在“.my.cnf”里面存储口令，文件应该不是组或世界可读或可写的。保证文件的存取模式是400或600。见4.15.4 选项文件。 
  
  
  
• 
  你可在MYSQL_PWD环境变量中存储口令，但是这个方法必须想到是极不安全的且应该不使用。ps的某些版本包括显示运行进程的环境的选项；如果你设定MYSQL_PWD，你的口令将对所有人是显而易见的，甚至在没有这样一个版本的ps系统上，假设没有其他方法观察到进程环境是不明智的。 
  总之，最安全的方法是让客户程序提示口令或在一个适当保护的“.my.cnf”文件中指定口令。 
  

• grant权限允许用户放弃他们的权限给其他用户。2个有不同的权限并有grant权限的用户可以合并权限。 
  
• alter权限可以用于通过重新命名表来推翻权限系统。 
  
• file权限可以被滥用在服务器上读取任何世界可读(world-readable，即任何人可读)的文件到一张数据库表，然后其内容能用SELECT被存取。 
  
• shutdown权限通过终止服务器可以被滥用完全拒绝为其他用户服务, 。 
  
• precess权限能被用来察看当前执行的查询的普通文本，包括设定或改变口令查询。 
  
• 在mysql数据库上的权限能被用来改变口令和其他存取权限信息。（口令被加密存储，所以一个恶意的用户不能简单地读取他们。然而，有足够的权限，同一个用户能用不同的一个代替一个口令。） 
  有一些事情你不能用MySQL权限系统做到： 
  
  
• 你不能明显地指定一个给定用户应该被拒绝存取。即，你不能明显地匹配一个用户并且然后拒绝连接。 
  
• 你不能指定一个用户有权创建立或抛弃一个数据库中的表，也不能创建或抛弃数据库本身。 
  

• 阶段1：服务器检查你是否允许连接。 
  
• 阶段2：假定你能连接，服务器检查你发出的每个请求。看你是否有足够的权限实施它。例如，如果你从数据库中一个表精选(select)行或从数据库抛弃一个表，服务器确定你对表有select权限或对数据库有drop权限。 
  

• user表范围字段决定是否允许或拒绝到来的连接。对于允许的连接，权限字段指出用户的全局(超级用户)权限。 
  
• db和host表一起使用： 
  
           db表范围字段决定用户能从哪个主机存取哪个数据库。权限字段决定允许哪个操作。 
           
           当你想要一个给定的db条目应用于若干主机时，host表作为db表的扩展被使用。例如，如果你想要一个用户能在你的网络从若干主机使用一个数据库，在用户的db表的Host条目设为空值，然后将那些主机的每一个移入host表。这个机制详细描述在6.8 存取控制, 阶段2：请求证实。 
  
  
• tables_priv和columns_priv表类似于db表，但是更精致：他们在表和列级应用而非在数据库级。 

• 你从那个主机连接 
  
• 你的MySQL用户名 
  

• 一个Host值可以是主机名或一个IP数字，或'localhost'指出本地主机。 
  
• 你可以在Host字段里使用通配符字符“%”和“_”。 
  
• 一个Host值'%'匹配任何主机名，一个空白Host值等价于'%'。注意这些值匹配能创建一个连接到你的服务器的任何主机！ 
  通配符字符在User字段中不允许，但是你能指定空白的值，它匹配任何名字。如果user表匹配到来的连接的条目有一个空白的用户名，用户被认为是匿名用户(没有名字的用户)，而非客户实际指定的名字。这意味着一个空白的用户名被用于在连接期间的进一步的存取检查(即，在阶段2期间)。 
  
• Password字段可以是空白的。这不意味着匹配任何口令，它意味着用户必须不指定一个口令进行连接。 

• 通配符字符“%”和“_”可被用于两个表的Host和Db字段。 
  
• 在db表的'%'Host值意味着“任何主机”，在db表中一个空白Host值意味着“对进一步的信息咨询host表”。 
  
• 在host表的一个'%'或空白Host值意味着“任何主机”。 
  
• 在两个表中的一个'%'或空白Db值意味着“任何数据库”。 
  
• 在两个表中的一个空白User值匹配匿名用户。 
  

• 通配符“%”和“_”可用在使用在两个表的Host字段。 
  
• 在两个表中的一个'%'或空白Host意味着“任何主机”。 
  
• 在两个表中的Db、Table_name和Column_name字段不能包含通配符或空白。 
  

• 服务器在db表的Host、Db和User字段上查找一个匹配。 Host和User对应连接用户的主机名和MySQL用户名。Db字段对应用户想要存取的数据库。如果没有Host和User的条目，存取被拒绝。 
  
• 如果db表中的条目有一个匹配而且它的Host字段不是空白的，该条目定义用户的数据库特定的权限。 
  
• 如果匹配的db表的条目的Host字段是空白的，它表示host表列举主机应该被允许存取数据库的主机。在这种情况下，在host表中作进一步查找以发现Host和Db字段上的匹配。如果没有host表条目匹配，存取被拒绝。如果有匹配，用户数据库特定的权限以在db和host表的条目的权限，即在两个条目都是'Y'的权限的交集(而不是并集！)计算。（这样你可以授予在db表条目中的一般权限，然后用host表条目按一个主机一个主机为基础地有选择地限制它们。） 
  

• 表和列权限在客户的下一次请求时生效。 
  
• 数据库权限改变在下一个USE db_name命令生效。 
  
• 全局权限的改变和口令改变在下一次客户连接时生效。 
  

• MySQL root用户作为可做任何事情的一个超级用户被创造。连接必须由本地主机发出。注意：出世的root口令是空的，因此任何人能以root而没有一个口令进行连接并且被授予所有权限。 
  
• 一个匿名用户被创造，他可对有一个'test'或以'test_'开始的名字的数据库做任何时期事情，连接必须由本地主机发出。这意味着任何本地用户能连接并且视为匿名用户。 
  
• 其他权限被拒绝。例如，一般用户不能使用mysqladmin shutdown或mysqladmin processlist。 

• 当你试着联接MySQL服务器时，如果你碰到Access denied错误，显示在下面的表指出一些你能用来更正这个问题的动作： 
  
  你是在安装MySQL以后运行mysql_install_db的脚本，来设置初始授权表内容吗？如果不是，这样做。见6.10 设置初始MySQL权限。通过执行这个命令测试初始权限： 
  shell> mysql -u root test 
  
  服务器应该让你无误地连接。你也应该保证你在MySQL数据库目录有一个文件“user.MYD”。通常，它是“PATH/var/mysql/user.MYD”，在此PATH是MySQL安装根目录的路径。 
  
  
• 在一个新的安装以后，你应该连接服务器并且设置你的用户及其存取许可： 
  shell> mysql -u root mysql 
  
  服务器应该让你连接，因为MySQL root用户初始时没有口令。既然那也是一个安全风险，当你正在设置其他MySQL用户时，设定root口令是一件重要的事请。如果你作为root尝试连接并且得到这个错误： 
  
  Access denied for user: '@unknown' to database mysql 
  
  这意味着，你没有一个条目在user表中的一个User列值为'root'并且mysqld不能为你的客库解析主机名。在这种情况下，你必须用--skip-grant-tables选项重启服务器并且编辑你的“/etc/hosts”或“windowshosts”文件为你的主机增加一个条目。 
  
  
• 如果你从一个3.22.11以前的版本更新一个现存的MySQL安装到3.22.11版或以后版本，你运行了mysql_fix_privilege_tables脚本吗？如果没有，运行它。在GRANT语句变得能工作时，授权表的结构用MySQL 3.22.11修改 。 
  
• 如果你直接对授权表做修改(使用INSERT或UPDATE语句)并且你的改变似乎被忽略，记住，你必须发出一个FLUSH PRIVILEGES语句或执行一个mysqladmin flush-privileges命令导致服务器再次读入表，否则你的改变要道下一次服务器被重启时再生效。记住在你设定root口令以后，你将不需要指定它，直到在你清洗(flush)权限以后，因为服务器仍然不会知道你改变了口令！ 
  
• 如果你的权限似乎在一个会话(session)当中改变了，可能是一个超级用户改变了他们。再次装入授权表作用于新客户连接，但是它也影响现存的连接，如6.9 权限改变何时生效小节所述。 
  
• 为了测试，用--skip-grant-tables选项启动mysqld守护进程，然后你可以改变MySQL授权表并且使用mysqlaccess脚本检查你的修改是否有如期的效果。当你对你的改变满意时，执行mysqladmin flush-privileges告诉mysqld服务器开始使用新的权限表。注意：再次装入授权表覆盖了--skip-grant-tables选项。这允许你告诉服务器开始使用授权表，而不用停掉并重启它。 
  
• 如果你有一个Perl、Python或ODBC程序的存取问题，试着用mysql -u user_name db_name或mysql -u user_name -pyour_pass db_name与服务器连接。如果你能用mysql客户连接，这是你程序的一个问题而不是存取权限的问题。（注意在-p和口令之间没有空格；你也能使用--password=your_pass句法指定口令。） 
  
• 如果你不能让口令工作，记得如果你用INSERT, UPDATE或SET PASSWORD语句设置口令，你必须使用PASSWORD()函数。如果你用GRANT ... INDENTIFIED BY语句或mysqladmin password命令指定口令，PASSWORD()函数是不需要的。见6.12 怎样设置口令。 
  
• localhost是你本地主机名的一个同义词，并且也是如果你不明确地指定主机而客户尝试连接的缺省主机。然而，如果你正在运行于一个使用MIT-pthreads的系统上，连接localhost是不行的(localhost连接使用Unix套接字进行，它没被 MIT-pthreads支持)，为了在这样的系统上避免这个问题，你应该使用--host选项明确地命名服务器主机，这将做一个 TCP/IP连接到mysqld服务器。在这种情况下，你必须有在服务器主机上的user表中条目的你真实的主机名。（即使你在服务器同一台的主机上运行一个客户程序，这也是真的。） 
  
• 当尝试用mysql -u user_name db_name与数据库连接时，如果你得到一个Access denied错误，你可能有与user桌有关的问题，通过执行mysql -u root mysql并且发出下面的SQL语句检查： 
  mysql> SELECT * FROM user; 
  
  结果应该包含一个有Host和User列的条目匹配你的计算机主机名和你的MySQL用户名。 
  
  
• Access denied错误消息将告诉你，你正在用哪个用户尝试登录，你正在试图用连接哪个主机，并且你是否正在使用一个口令。通常，你应该在user表中有一个条目，正确地匹配在错误消息给出的主机名和用户名。 
  
• 如果当你试着从一个不是MySQL服务器正在运行的主机上连接时，你得到下列错误，那么在user表中没有匹配那台主机行： 
  Host ... is not allowed to connect to this MySQL server 
  
  你可以通过使用mysql命令行工具（在服务器主机上！)修正它，把你正在试图连接的用户/主机名组合新加一行到user表中。如果你不在运行MySQL 3.22并且你不知道你正在从它连接的机器的IP数字或主机名，你应该把一个'%'条目作为Host列值放在user表中并且在服务器机器上使用--log选项重启mysqld。在试图从客户机器连接以后，在MySQL记录文件中的信息将显示你如何真正进行连接。（然后用在记录文件上面显示出的实际的主机名代替user表中的'%'条目。否则，你将有一个不安全的系统。）
  
  
• 如果mysql -u root test工作但是mysql -h your_hostname -u root test导致Access denied，那么在user表中你可能没有你的主机的正确名字。这里的一个普遍的问题是在user表条目中的Host值指定一个唯一的主机名，但是你系统的名字解析例程返回一个完全正规的域名(或相反)。例如，如果你在user表中有一个主机是'tcx'的条目，但是你的 DNS告诉MySQL你的主机名是'tcx.subnet.se'，条目将不工作。尝试把一个条目加到user表中，它包含你主机的IP数字作为Host列的值。（另外，你可以把一个条目加到user表中，它有包含一个通配符如'tcx.%'的Host值。然而，使用以“%”结尾的主机名是不安全的并且不推荐！） 
  
• 如果mysql -u user_name test工作但是mysql -u user_name other_db_name不工作，对other_db_name，你在db表中没有没有一个条目列出。 
  
• 当在服务器机器上执行mysql -u user_name db_name时，它工作，但是在其它客户机器上执行mysql -h host_name -u user_name db_name时，它却不工作，你没有把客户机器列在user表或db表中。 
  
• 如果你不能弄明白你为什么得到Access denied，从user表中删除所有Host包含通配符值的条目(包含“%”或“_”的条目)。一个很普遍的错误是插入用Host='%'和User='some user'插入一个新条目，认为这将允许你指定localhost从同一台机器进行连接。它不工作的原因是缺省权限包括一个有Host='localhost'和User=''的条目，因为那个条目一个比'%'更具体的Host值'localhost'，当从localhost连接时，它用于指向新条目！正确的步骤是插入Host='localhost'和User='some_user'的第2个条目，或删除Host='localhost'和User=''条目。 
  
• 如果你得到下列错误，你可以有一个与db或host表有关的问题： 
  Access to database denied
  
  
• 如果从db表中选择了在Host列有空值的条目，保证在host表中有一个或多个相应的条目，指定运用db表中的哪些主机。如果在使用SQL命令SELECT ... INTO OUTFILE或LOAD DATA INFILE时，你得到错误，在user表中的你的条目可能启用file权限。 
  
  
• 记住，客户程序将使用在配置文件或环境变量被指定了的连接参数。如果当你不在命令行上指定他们时，一个客户似乎正在发送错误的缺省连接参数，检查你的环境和在你的主目录下的“.my.cnf”文件。你也可以检查系统范围的MySQL配置文件，尽管更不可能将在那里指定那个客户的连接参数。见4.15.4 选项文件。如果当你没有任何选项运行一个客户时，你得到Access denied，确认你没在任何选项文件里指定一个旧的口令！见4.15.4 选项文件。 
  
• 如果任何其它事情失败，用调试选项(例如，--debug=d,general,query)启动mysqld守护进程。这将打印有关尝试连接的主机和用户信息，和发出的每个命令的信息。见G.1 调试一个MySQL服务器。 
  
• 如果你有任何与MySQL授权表的其它问题，而且觉得你必须邮寄这个问题到邮寄表，总是提供一个MySQL授权表的倾倒副本(dump)。你可用mysqldump mysql命令倾倒数据库表。象平时一样，用mysqlbug脚本邮寄你的问题。在一些情况下你可能用--skip-grant-tables重启mysqld以便能运行mysqldump。 
  

• 对所有MySQL用户使用口令。记住，如果other_user没有口令，任何人能简单地用mysql -u other_user db_name作为任何其它的人登录。对客户机/服务器应用程序，客户可以指定任何用户名是常见的做法。在你运行它以前，你可以通过编辑mysql_install_db脚本改变所有用户的口令，或仅仅MySQL root的口令，象这样： 
  shell> mysql -u root mysql
  mysql> UPDATE user SET Password=PASSWORD('new_password')
             WHERE user='root';
  mysql> FLUSH PRIVILEGES;
  
  
• 不要作为Unix的root用户运行MySQL守护进程。mysqld能以任何用户运行，你也可以创造一个新的Unix用户mysql使一切更安全。如果你作为其它Unix用户运行mysqld，你不需要改变在user表中的root用户名，因为MySQL用户名与Unix 用户名没关系。你可以作为其它Unix用户编辑mysql.server启动脚本mysqld。通常这用su命令完成。对于更多的细节，见18.8 怎样作为一个一般用户运行MySQL。 
  
• 如果你把一个Unix root用户口令放在mysql.server脚本中，确保这个脚本只能对root是可读的。 
  
• 检查那个运行mysqld的Unix用户是唯一的在数据库目录下有读/写权限的用户。 
  
• 不要把process权限给所有用户。mysqladmin processlist的输出显示出当前执行的查询正文，如果另外的用户发出一个UPDATE user SET password=PASSWORD('not_secure')查询，被允许执行那个命令的任何用户可能看得到。mysqld为有process权限的用户保留一个额外的连接, 以便一个MySQL root用户能登录并检查，即使所有的正常连接在使用。 
  
• 不要把file权限给所有的用户。有这权限的任何用户能在拥有mysqld守护进程权限的文件系统那里写一个文件！为了使这更安全一些，用SELECT ... INTO OUTFILE生成的所有文件对每个人是可读的，并且你不能覆盖已经存在的文件。file权限也可以被用来读取任何作为运行服务器的Unix用户可存取的文件。这可能被滥用，例如，通过使用LOAD DATA装载“/etc/passwd”进一个数据库表，然后它能用SELECT被读入。 
  
• 如果你不信任你的DNS，你应该在授权表中使用IP数字而不是主机名。原则上讲，--secure选项对mysqld应该使主机名更安全。在任何情况下，你应该非常小心地使用包含通配符的主机名！