MySQL管理員應該知道怎樣通過指定哪些用戶可連接到服務器、從哪裡進行連接,以及在連接時做什麼,來設置MySQL用戶賬號。MySQL3.22.11引入了兩個更容易進行這項工作的語句:GRANT 語句創建MySQL用戶並指定其權限,REVOKE 語句刪除權限。這兩個語句充當MySQL數據庫中的授權表的前端,並提供直接操縱這些表內容的可選擇的方法。GRANT 和REVOKE 語句影響以下四個表:
授權表 內容
user 可連接到服務器的用戶和他們擁有的任何全局特權
db 數據庫級的特權
tables _ priv 表級特權
c o l um n s _ priv 列級特權
還有第五個授權表( host),但它不受GRANT 或REVOKE的影響。
當您為某個用戶發布GRANT 語句時,應在user表中為該用戶創建一個項。如果該語句指定了所有全局特權(管理權限或用於所有數據庫的權限),則這些指定也被記錄在user表中。如果指定了數據庫、表或列的權限,它們將記錄在db、tables_priv 和columns_priv表中。
使用GRANT 和REVOKE語句比直接修改授權表更容易。但是,建議您最好通過閱讀第12章來補充本章的內容,第12章中詳細討論了授權表。這些表非常重要,作為一位管理員應該了解這些表是怎樣在GRANT 和REVOKE 語句級上工作的。
本節下面的部分將討論如何設置MySQL用戶的賬號和授權,還將介紹如何取消權限以及從授權表中刪除全部用戶,並且將考慮一個困擾許多新的MySQL管理員的難題。
您還要考慮使用mysqlAccess 和mysql_setpermission 腳本,它們是MySQL分發包的組成部分。這些是Perl 的腳本,它們提供了設置用戶賬號的GRANT 語句的代用品。MySQL_setpermission 需要具有DBI 的支持環境。
創建新用戶和授權
GRANT 語句的語法如下:
GRANT privileges (columns) ON what TO user IDENTIFIEDBY "passWord" WITH GRANT OPTION
要使用該語句,需要填寫以下部分:
privileges 分配給用戶的權限。下表列出了可在GRANT 語句中使用的權限說明符:
權限說明符權限允許的操作
上表顯示的第一組權限說明符適用於數據庫、表和列。第二組說明符是管理特權。通常,這些權限的授予相當保守,因為它們會影響服務器的操作(例如, SHUTDOWN 特權不是按每天來分發的權限)。第三組說明符是特殊的。ALL的意思是“所有的權限”,而USAGE 的意思是“無權限”─即創建用戶,但不授予任何的權限。
columns 權限適用的列。這是可選的,只來設置列專有的權限。如果命名多於一個列,則用逗號分開。
what 權限應用的級別。權限可以是全局的(適用於所有數據庫和所有的表)、數據庫專有的(適用於某個數據庫中的所有表),或表專有的。可以通過指定一個C O L U M N S子句將權限授予特定的列。
user 使用權限的用戶。它由用戶名和主機名組成。在MySQL中,不僅指定誰進行連接,還要指定從哪裡連接。它允許您擁有兩個帶有相同名字的、從不同位置連接的用戶。MySQL允許在它們之間進行區別並相互獨立地分配權限。
MySQL的用戶名就是您在連接到服務器時指定的名字。該名字與您的UNIX 注冊名或Windows 名的沒有必然連系。缺省設置時,客戶機程序將使用您注冊的名字作為MySQL的用戶名(如果您不明確指定一個名字的話),但這只是一個約定。有關將root作為可以操作一切MySQL的超級用戶名也是這樣,就是一種約定。您也可以在授權表中將此名修改成nobody,然後作為nobody 用戶進行連接,以執行需要超級用戶特權的操作。
password 分配給該用戶的口令。這是可選的。如果您不給新用戶指定IDENTIFIEDBY子句,該用戶不分配口令(是非安全的)。對於已有的用戶,任何指定的口令將替代舊口令。如果不指定新口令,用戶的舊口令仍然保持不變。當您確實要使用ID E N T I F I E DBY 時,該口令串應該是直接量,GRANT 將對口令進行編碼。當用SET PA S S W O R D語句時,不要使用PASSWord() 函數。
WITH GRANT OPTION 子句是可選的。如果包含該子句,該用戶可以將GRANT 語句授予的任何權限授予其他的用戶。可以使用該子句將授權的能力授予其他的用戶。
用戶名、口令以及數據庫和表的名稱在授權表項中是區分大小寫的,而主機名和列名則不是。
通過查詢某些問題,通常可以推斷出所需的GRANT 語句的類型:
誰可以進行連接,從哪裡連接?
用戶應具有什麼級別的權限,這些權限適用於什麼?
允許用戶管理權限嗎?
讓我們來提問這些問題,同時看一些利用GRANT 語句設置MySQL用戶賬號的例子。
1. 誰可以進行連接,從哪裡連接
您可以允許用戶在特定的主機或涉及范圍很寬的一組主機中進行連接。在一個極端,如果知道用戶將僅從那個主機中進行連接,則可限定對單個主機的訪問:
GRANT ALL ON samp_db.* TO boris@localhost IDENTFIEDBY "ruby" GRANT ALL ON samp_db.* TO [email protected] IDENTFIEDBY "quartz"
(符號samp_db.* 含義是“在samp_db 數據庫中的所有表”)在另一個極端,您可能會有一個用戶m a x,他周游世界並需要能夠從世界各地的主機中進行連接。在這種情況下,無論他從哪裡連接您都將允許:
GRANT ALL ON samp_db.* TO max@% IDENTFIEDBY "diamond"
‘%’字符起通配符的作用,與LIKE模式匹配的含義相同,在上個語句中,它的意思是“任何主機”。如果您根本不給出主機名部分,則它與指定“ %”的含義相同。因此, max和max@%是等價的。這是設置一個用戶最容易的方法,但安全性最小。
要想采取妥協的辦法,可允許用戶在一組有限的主機中進行連接。例如,要使mary 從snake.net 域的任何主機中進行連接,可使用%.snake.Net 主機說明符:
GRANT ALL ON samp_db.* TO mary@%.snake.Net IDENTFIEDBY "topaz"
該用戶標識符的主機部分可用IP 地址而不是主機名給出(如果願意的話)。可以指定一個直接的IP 地址或包含模式字符的地址。同樣,自MySQL3.23 起,可以用一個網絡掩碼來指定IP 號,網絡掩碼表明了用於該網絡號的二進制位數:
GRANT ALL ON samp_db.* TO [email protected] IDENTIFIEDBY "water" GRANT ALL ON samp_db.* TO [email protected].% IDENTIFIEDBY "snow" GRANT ALL ON samp_db.* TO [email protected]/17 IDENTIFIEDBY "ice"
第一條語句指明用戶可進行連接的特定的主機。第二條語句指定129.168.128 Class C 子網的IP 模式。在第三條語句中, 192.168.128.0/17 指定一個17 位二進制的網絡號,並將任何主機與其IP 地址的前17 個二進制位中的192.168.128.0/17 進行匹配。
如果MySQL抱怨您指定的用戶值,則可能需要使用引號(但對用戶名和主機名分別加引號):
GRANT ALL ON samp_db.president TO "my frIEnd"@"boa.snake.Net"
2. 用戶應具有什麼級別的權限,這些權限適用於什麼
您可授予不同級別的權限。全局權限的功能最強,因為它們適用於任何數據庫。為了使ethel 成為可以進行一切操作的超級用戶(其中包括可以對其他用戶授權),發布下列語句:
GRANT ALL ON *.* TO ethel@localhost IDENTIFIEDBY "coffee" WITH GRANT OPTION
ON 子句中*.* 說明符的意思是“所有數據庫,所有的表”,為保險起見,我們已經指定ethel 只能從本地主機中連接。限制超級用戶從哪些主機上進行連接通常是明智的做法,因為它限制住了其他用戶對口令進行試探。
有些權限( F I L E、P R O C E S S、RELOAD 和S H U T D O W N)是管理權限,只能用NO *.* 全局權限說明符來授予。如果希望的話,也可以不用授予數據庫級的權限來授予這些權限。例如,下列語句建立了一個flush 用戶,它除了發布FLUSH語句外不做其他任何事情。在管理腳本中這可能是有用的,因為需要在這些腳本中執行諸如在日志文件循環期間刷新日志的操作:
GRANT RELOAD ON *.* TO flush@localhost IDENTIFIEDBY "flushpass"
通常授予管理權限應該是保守的,因為具有這些權限的用戶可能影響服務器的操作。
數據庫級的權限適用於特定數據庫中的所有表。這些權限使用ON db_name.* 子句進行授予:
GRANT ALL ON samp_db.* TO [email protected] IDENTIFIEDBY "rock" GRANT SELECT ON menagerie.* TO ro_user@% IDENTIFIEDBY "dirt"
第一條語句將bill 的所有權限授予samp_db 數據庫的任何表。第二條語句創建一個限制訪問的用戶r o _ user(只讀用戶),它可以訪問menagerIE 數據庫的所有表,但只能讀取。也就是說,該用戶只能發布SELECT 語句。
怎樣在授權表項中指定本地主機名
如果您使用服務器的主機名而非localhost,通常存在從該服務器主機連接的問題。這可能是由於在授權表中指定名字的方法和名字分解器例程( name reslover routine)向程序報告名字的方法之間的錯誤匹配。如果分解器報告了一個非限定的名字(如p i t - v i per),但授權表包含了具有全限定的名字的項(如p i t - v i per. s n a k e . n e t,反之亦然),則發生錯誤匹配。
為了確定這種情況是否正在系統中發生,可試著用-h 選項連接到本地服務器,該選項指定了主機的名字。然後查看服務器的常規日志文件。它是怎樣報告主機名的?是以非限定形式還是限定形式?不論它是哪種形式,都將告訴您在發布GRANT 語句時需要怎樣指定用戶說明符的主機名部分。
可以同時列出許多被授予的單個權限。例如,如果想讓用戶能讀取和修改已有表的內容,但又不允許創建新表或刪除表,可按如下授權:
GRANT SELECT,INSERT,DELETE,UPDATE ON samp_db.* TO jennie@% IDENTIFIEDBY "boron"
對於更小粒度( f i n e - g r a i n e d)的訪問控制,可以在單個表上授權,甚至在表的單個列上授權。當存在要對用戶隱藏的表時,或者,當只允許用戶修改特定列時,列專有的權限是有用的。假定歷史同盟會中有一些志願者利用您作為同盟會秘書應履行的職責來幫助您工作。這是一個好消息,但您決定首先給新的助手授予對member 表只讀的權限(該表中包含了會員資格的信息),然後再對他們增加授予該表的expiration 列的列專有UPDATE權限。也就是說,您的助手可以在人們更新其會員資格時進行更改
第一條語句授予對整個member 表的讀訪問權並設置口令。第二條語句增加UPDATE權限,但只是對expiration 列。此時不必要再指定口令,因為在第一條語句中已經完成了。
截止日期的工作。設置此MySQL用戶的語句如下:
如果想要為多個列授予列專有的權限,可指定一個列清單,並用逗號將這些列分隔。例如,為了給assistant 用戶增加對member 表地址列的UPDATE權限,可以使用下列語句。新的權限將被增加到對該用戶來說已經存在的所有列上:
GRANT UPDATE (street,city,state,zip) ON samp_db.member TO assistant@localhost
通常,不要給用戶授予比實際需要更大的權限。但是,當您想要使用戶能夠創建存儲中間結果的臨時表,而又不允許用戶在包含有他們不能修改的數據的數據庫中這樣做時,就有了要在數據庫上授予相當多的許可權限的理由。您可以建立一個單獨的數據庫(筆者稱它為t m p)並授予用戶該數據庫的所有權限。例如,如果想要mars.Net 域的主機中的任何用戶都能夠使用tmp 數據庫,可發布下列GRANT語句:
GRANT ALL ON tmp.* TO ""@%.mars.Net
在完成這些之後,用戶可使用tmp.tbl_name 格式的名字創建和引用tmp 數據庫中的表(用戶說明符中的“” 創建一個匿名用戶項,任何用戶都與空白用戶名相匹配)。
3. 允許用戶管理權限嗎
通過授予數據庫所有者數據庫的所有權限並在操作時指定WITH GRANT OPTION,可以允許數據庫所有者控制對該數據庫的訪問。例如,如果要讓alicia 能在big.corp.com 域的所有主機中進行連接並管理sales 數據庫中所有表的權限,應使用下列GRANT語句:
實際上,WITH GRANT OPTION 子句允許將訪問的權利授予給另一個用戶。要知道,具有GRANT 權限的兩個用戶可以相互授予自己的權限。如果只給一個用戶授予SELECT 權限而給另一個用戶除SELECT 外還授予了GRANT 和其他的權限,則第二個用戶可以使第一個用戶“強大”起來。
取消權限和刪除用戶
為了收回某個用戶的權限,可使用REVOKE 語句。除了要用FROM 替換TO 並且沒有IDENTIFIEDBY 或WITH GRANT OPTION 子句外,REVOKE 的語法與GRANT 語句非常相似:
REVOKE privileges (columns) ON what FROM user
user 部分必須與您想要取消其權限的用戶的原始GRANT 語句的user 部分相匹配。priv i l e g e s 部分不需要匹配,您可用GRANT 語句授權,然後用REVOKE 語句取消其中的一部分。REVOKE 語句只刪除權限,不刪除用戶。用戶的項仍然保留在user 表中,即使您取消了該用戶的所有權限也是如此。這意味著該用戶仍然可連接到服務器上。要想刪除整個用戶,必須用DELETE 語句將該用戶的記錄從user 表中直接刪除:
DELETE 語句刪除該用戶的項, FLUSH 語句告訴服務器重新加載授權表(當使用GRANT 或REVOKE 語句,而不是直接修改授權表時,這些表將自動重新加載)。
一個權限難題,第一部分
下面是一個在MySQL郵件清單中反復出現的情況:一位新的MySQL管理員給某用戶增加一個項,使用了主機名部分,該部分是用一個模式來指定的。例如:
GRANT ALL ON samp_db.* TO fred@%.snake.Net IDENTIFIEDBY "cocoa"
這裡的意圖是允許用戶fred 從snake.Net 域的所有主機中進行連接,並且具有對samp_db 數據庫的所有權限。事實上, fred 能夠從那些主機中連接(除了服務器主機本身外)。當fred 試著從服務器主機中進行連接時,該企圖以“訪問被拒絕”的消息而告失敗。即使用戶指定了正確的口令也是如此。
如果授權表中包含了由MySQL_install_db 安裝腳本安裝的缺省項,這種情況也會發生。其原因是,當服務器驗證fred 連接的企圖時,一個匿名用戶項( anonymous-user entry)比fred 項優先。匿名用戶項要求該用戶不用口令來連接,並且一個口令錯誤匹配發生。
該問題的另一個背景將在第12章“權限難題,第二部分”中給出。目前,只要說修正此問題的方法是從user 表中刪除匿名用戶項就足夠了,我們不能用R E V O K E,因為該命令只刪除權限。要想完全擺脫這些匿名項,執行如下操作:
% mysql-uroot mysql mysql> DELETE FROM user where User=""; MySQL>FLUSH PRIVILEGES;
現在,當fred 試圖從本地主機連接時成功了。
