美文网首页
MySQL基础知识:启动管理和账号管理

MySQL基础知识:启动管理和账号管理

作者: 一个编码者 | 来源:发表于2021-03-05 12:04 被阅读0次

    整理、记录常用的MySQL基础知识;时间久了,很多就忘记了。

    操作系统环境为MacOS Catalina, MySQL版本为: 8.0.13 MySQL Community Server - GPL.

    安装、启动和连接

    安装

    安装完MySQL Server后,需要运行mysql_secure_installation确保安全, 运行mysql_secure_installation会执行几个设置:

    • 为root用户设置密码
    • 是否删除匿名账号
    • 是否取消root用户远程登录
    • 是否删除test库和对test库的访问权限
    • 是否刷新授权表使修改生效

    启动管理

    MacOS

    查看MySQL服务状态

    sudo /usr/local/mysql/support-files/mysql.server status
    

    停止MySQL服务

    sudo /usr/local/mysql/support-files/mysql.server stop
    

    开始MySQL服务

    sudo /usr/local/mysql/support-files/mysql.server start
    

    重新启动MySQL

    sudo /usr/local/mysql/support-files/mysql.server restart
    

    Linux系统

    可以使用下面三种命令之一的方式来管理MySQL服务。

    systemctl start mysql
    

    或者

    service mysql start
    

    或者

    sudo /etc/init.d/mysql start
    

    连接

    本地连接

    mysql -uroot -p
    

    远程连接

    注意:

    1. 如果在运行时mysql_secure_installation去掉了root的远程连接,则需要先创建新的MySQL账户(参考 管理MySQL账户 一节)。
    2. 当使用navtive password插件(默认)验证用户的时候,会检查 发起连接的机器 + 用户名 + 密码

    远程连接命令:

    mysql -u[username] -h[server_host] -p
    

    管理MySQL账户

    MySQL的账户信息存储在mysql库中的user表里。

    查看user表信息

    describe mysql.user;
    

    或者

    desc mysql.user;
    

    备注: MySQL 5.7及之后版本,password字段被移除,密码存储在authentication_string字段。

    查看当前所有账户信息

    SELECT * FROM mysql.user\G;
    

    *_priv值为Y,表名该账户有对应的权限。

    查看当前登录到MySQL Server的user列表

    SELECT 
        user, 
        host, 
        db, 
        command 
    FROM 
        information_schema.processlist;
    

    或者,

    SHOW PROCESSLIST;
    

    账户(user)管理

    创建新MySQL用户账号

    MySQL账号的格式: ‘user_name’@’host_name‘

    创建后的MySQL账号只能登陆MySQL服务,但没有任何访问数据的权限;需要使用GRANT赋予对应的权限。

    CREATE USER 'zclmoon'@'localhost' IDENTIFIED BY 'abc123_';
    
    1. 创建账户名为:zclmoon
    2. loalhost 连接MySQL server
    3. 密码为: abc123_

    注意,安全考虑:

    1. 不要创建没有密码的账号
    2. 不要创建匿名账号
    3. host name尽量不要使用通配符 %_ (接收从任何地方来的连接);

    同时创建多个user:

    CREATE USER user1@localhost, user2, user3@localhost, user4@localhost 
    IDENTIFIED BY 'Init Password';
    

    更新已有账户密码

    方法一,使用管理员权限修改zclmoon账号密码:

    SET PASSWORD FOR zclmoon@localhost='abc123__';
    

    如果是MySQL 5.7.5、MariaDB 10.1.20 版本或之前的版本,使用命令;新版本也可以使用此命令。

    ALTER USER 'database_user'@'localhost' IDENTIFIED BY 'new_password';
    

    方法二,zclmoon连接后,自己修改密码:

    set password='123';
    

    过期账号密码

    alter user zclmoon@localhost password expire;
    

    连接没有问题,当查询的时候会报需要重置密码错误。然后使用 SET PASSWORD = 'new_pwd';重置密码即可。

    修改账户名

    rename user richie_test@localhost to zclmoon@localhost;
    

    删除账号

    drop user zclmoon@localhost;
    

    删除正在连接的账户

    当用户zcl正在连接MySQL Server时,DBA把该user drop掉,此时zcl仍然在连接中,并仍然可以正常做操作;只有等该user下次重新登录的时候才生效。

    如果,DBA想立马结束该user的连接和操作,可以在drop user之前,关闭该user的连接session。

    通过SHOW PROCESSLIST 查看user的session id。然后使用 KILL session_id终结该session.

    最后再drop user即可。

    问题:KILL之后, Drop USER 之前,如果使用zcl账户的客户端有操作,则会自动重建一个session出来。

    • 因为mysql cli客户端lost connection后会自动重连。
    • 解决办法: kill之后快速 drop user即可;可以把两条语句写在一起执行。
      示例:
     kill 31; drop user proxy_user@localhost;
    

    账户权限(privilege)管理

    MySQL Privilege Levels

    1. Global: 使用 *.* 语法,整个MySQL Server的所有对象(库,表,存储过程和函数等等);
    2. Database: 使用 database_name.* 语法,此数据库的所有对象;
    3. Table:database_name.table_name,此表的所有行数据;
    4. Column: 需要在每个privilege指定表的列,此表的特定列;
    5. Stored Routine: 存储过程和函数;
    6. Proxy:指定为已有账户的代理,然后会有该账户的所有权限。

    显示账号被赋予的权限

    SHOW GRANTS 
    FOR zclmoon@localhost;
    

    或者

    SHOW GRANTS; # 显示当前用户的权限
    

    给账号某个db的所有权限

    GRANT ALL 
    ON database_name.* 
    TO 'database_user'@'localhost';
    

    给账号所有db的所有权限

    GRANT ALL 
    ON *.* 
    TO 'database_user'@'localhost'
    WITH GRANT OPTION;
    

    特别注意:这里如果没有 WITH GRANT OPTION,会不工作,用户还是没有权限访问数据库对象;测试下来看,因为是root权限的原因。

    好的实践: 给用户指定特定的数据库或表的权限,而不是所有。

    给账号特定的权限

    GRANT SELECT, INSERT, DELETE 
    ON database_name.* 
    TO `database_user`@'localhost';
    

    给账号执行存储过程的权限

    GRANT EXECUTE 
    ON PROCEDURE YourProcedureName 
    TO zclmoon@localhost;
    

    给账号表里特定列的权限

    GRANT 
       SELECT (employeeNumner,lastName, firstName,email), 
       UPDATE(lastName) 
    ON employees 
    TO zclmoon@localhost;
    

    Proxy账号

    使用Proxy User前,需要先让MySQL Server支持此机制。

    1. 检查系统变量:check_proxy_users,这个默认是0,没启用,所以MySQL Server不会使用proxy user mapping。
    2. 如果 check_proxy_users已经启用(值为1),则还需要启用两个插件:
      • mysql_native_password 插件: 启用 mysql_native_password_proxy_users.
      • sha256_password 插件: 启用 sha256_password_proxy_users.

    修改my.cnf配置文件:

    [mysqld]
    check_proxy_users=ON
    mysql_native_password_proxy_users=ON
    sha256_password_proxy_users=ON
    

    Grant Proxy:

    GRANT PROXY 
    ON root@localhost 
    TO zclmoon@localhost;
    

    查看当前登录是否用了proxy:

    SELECT @@proxy_user;
    

    遇到的问题: proxy user 一直没起作用:

    解决方法:

    创建user的时候,需要带上WITH mysql_native_password:

    CREATE USER 'proxy_user'@'localhost'
      IDENTIFIED WITH mysql_native_password
      BY 'password';
    

    也尝试了默认的方式和不加my.cnf后面两项配置,都不工作;具体原因还没搞清楚 ......

    Revoke Proxy:

    REVOKE PROXY 
    ON root@localhost 
    FROM zclmoon@localhost;
    

    MySQL移除账号权限

    REVOKE ALL, GRANT OPTION 
    FROM user1@localhost, user2@localhost;
    

    注意: 不加 GRANT OPTION,会提示语法错误。

    角色(role)管理

    Role可以理解为一组privileges的集合,可以赋予多个具有相同privilege的用户users.

    在大部分开源的RDBMS,role其实是一个不能登录的user的别名。

    MySQL也是这么做的,Create Role后,可以在mysql.user表里看到多一条user记录(account_lockedpassword_expiredYauthentication_string 是空)。

    列出所有的role

    SELECT DISTINCT User 'Role Name', if(from_user is NULL,0, 1) Active 
    FROM mysql.user 
    LEFT JOIN role_edges 
    ON from_user=user 
    WHERE account_locked='Y' AND password_expired='Y' AND authentication_string='';
    

    上面 Active 表示role被assign到user过,assign 表是 role_edges

    如果想查询一个role assign给哪些user了,可以直接在role_edges表里查询。

    创建Role

    role和user账号一样,也有两部分组成: role_name@host_name (不指定host_name,则host_name默认为%)

    CREATE ROLE test_role1, test_role2;
    

    删除Role

    DROP ROLE test_role1;
    

    给Role赋权限

    GRANT ALL 
    ON cms.* 
    TO test_role1, test_role2;
    

    Revoke Role的权限

    REVOKE INSERT, UPDATE, DELETE 
    ON cms.* 
    FROM test_role1;
    

    给账号指定Role

    GRANT test_role1
    TO user1@localhost
    

    检查user role的指定,并用using语句看role对应的privileges

    SHOW GRANTS 
    FOR user1@localhost 
    USING test_role1;
    

    查看当前role

    SELECT current_role();
    

    备注

    GRANT语句可以赋予权限(privilege)和角色(role);不可以在同一个grant语句里混用权限和角色的赋予;ON关键字可用来分辨grant是赋予权限还是赋予角色:

    1. 有 ON,则表示赋予权限
    2. 没有 ON,则表示赋予角色

    示例:

    GRANT ALL ON db1.* TO 'user1'@'localhost';
    GRANT 'role1', 'role2' TO 'user1'@'localhost', 'user2'@'localhost';
    GRANT SELECT ON world.* TO 'role3';
    

    参考资料

    1. Beginners Guide to MySQL User Management
    2. How to Manage MySQL Databases and Users from the Command Line
    3. MySQL Administratrion
    4. GRANT Statement
    5. Proxy Users - Server Support for Proxy User Mapping
    6. The Ultimate Guide To MySQL Roles By Examples
    7. MySQL 8.0: Listing Roles

    原文地址:MySQL基础知识:启动管理和账号管理

    相关文章

      网友评论

          本文标题:MySQL基础知识:启动管理和账号管理

          本文链接:https://www.haomeiwen.com/subject/vperqltx.html