作者：俊达

MySQL权限划分

MySQL权限按授权范围可以分为三大类：全局权限、数据库权限和对象权限。

• 全局权限主要用于管理系统模块，这些权限涵盖了对MySQL服务器整体的操作和管理，与具体的数据库或对象无关，因此在授权时需要指定为*.*。
• 数据库权限是用于管理数据库，这些权限针对特定数据库，允许用户执行与该数据库相关的操作，例如创建、修改、删除数据库等。在授权时需指定database_name.*。
• 对象权限是用于管理数据库对象，涉及对具体数据库对象（如表、字段）的权限管理，允许用户对特定对象执行特定操作，例如对表进行查询、更新或删除操作。授权时需指定为database_name.table_name或database_name.table_name.column_name。

这种分类使得MySQL的权限管理更加灵活，可以根据实际需求精细地控制不同级别的权限，保障数据库安全性和管理的有效性。

MySQL各权限说明

一个例子：授权库不一致导致访问报错

1、创建账号并授权
授予账号(cc@%) select和create view的权限。

mysql> create database hello_db_x;
Query OK, 1 row affected (0.01 sec)

mysql> grant select on `hello\_db\_x`.* to 'cc'@'%' identified by '123';
Query OK, 0 rows affected, 1 warning (0.05 sec)

mysql> grant create view, show view on `hello_db_x`.* to 'cc'@'%';
Query OK, 0 rows affected (0.00 sec)

mysql> use hello_db_x;
Database changed
mysql> create table tx(a int);
Query OK, 0 rows affected (0.14 sec)

2、使用新账号登陆，创建视图
报没有create view的权限

root@box1 ~]# mysql -ucc -p123
mysql: [Warning] Using a password on the command line interface can be insecure.
Welcome to the MySQL monitor.  Commands end with ; or \g.

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| hello_db_x         |
+--------------------+
2 rows in set (0.00 sec)

mysql> use hello_db_x;


mysql> show tables;
+----------------------+
| Tables_in_hello_db_x |
+----------------------+
| tx                   |
+----------------------+
1 row in set (0.01 sec)

mysql> select * from tx;
Empty set (0.01 sec)


mysql> create or replace view v_xx as select * from tx;
ERROR 1142 (42000): CREATE VIEW command denied to user 'cc'@'localhost' for table 'v_xx'


mysql> show grants;
+------------------------------------------------------------+
| Grants for cc@%                                            |
+------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'cc'@'%'                             |
| GRANT SELECT ON `hello\_db\_x`.* TO 'cc'@'%'               |
| GRANT CREATE VIEW, SHOW VIEW ON `hello_db_x`.* TO 'cc'@'%' |
+------------------------------------------------------------+

创建视图失败，但是通过show grants，可以看到账号有create view的权限。

3、分析原因

hello_db_x库存在2条授权记录，一条有select权限，但是没有create view权限，一条有create view权限，但是无select权限。

mysql使用没有create view权限的那条授权记录，导致create view失败。

mysql> select host, db, user, select_priv, create_view_priv, show_view_priv from mysql.db where user='cc';
+------+--------------+------+-------------+------------------+----------------+
| host | db           | user | select_priv | create_view_priv | show_view_priv |
+------+--------------+------+-------------+------------------+----------------+
| %    | hello_db_x   | cc   | N           | Y                | Y              |
| %    | hello\_db\_x | cc   | Y           | N                | N              |
+------+--------------+------+-------------+------------------+----------------+

4、解决: 重新授权，库名保持一致（包括转义符）

grant create view, show view on `hello\_db\_x`.* to 'cc'@'%';

select host, db, user, select_priv, create_view_priv, show_view_priv from mysql.db where user='cc';
+------+--------------+------+-------------+------------------+----------------+
| host | db           | user | select_priv | create_view_priv | show_view_priv |
+------+--------------+------+-------------+------------------+----------------+
| %    | hello_db_x   | cc   | N           | Y                | Y              |
| %    | hello\_db\_x | cc   | Y           | Y                | Y              |

账号和权限管理实践

以下是一些关于MySQL账号和权限管理的建议：

1. 避免无密码和弱密码账号：确保不使用没有密码或者弱密码的账号，可以利用validate_password插件来评估密码的强度，从而保证只有强密码被使用。
2. 删除匿名用户： 删除所有用户名为空的匿名用户，以防止未经授权的访问。
3. 最小权限原则： 按需分配权限，给予用户所需的最小权限。例如，对于只需要进行查询的账号，仅授予"select"权限。
4. 区分业务账号权限：对于业务相关的账号，限制权限仅限于数据操作语言（DML）操作，如"insert"、“update”、“delete”、“select”、“lock tables”。通常不建议使用业务账号执行数据定义语言（DDL）操作（如"create"、“alter”、“drop”），以防止对数据库结构的意外更改。
5. 创建专用的DBA账号： 为数据库管理员（DBA）创建单独的账号，赋予其DDL权限（如"create"、“drop”、"alter"等）。这种职责分离确保了管理任务与常规业务操作分离，增强了对数据库修改的安全性和控制。

这些措施可以有助于更好地保护MySQL数据库安全，并且有条不紊地管理账号和权限，减少潜在的安全风险。

更多技术信息请查看云掣官网云掣YunChe - 可观测运维专家 | 大数据运维托管 | 云MSP服务