MySQL管理員指南之--MySQL使用者管理

MySQL管理員應該知道如何設定MySQL使用者帳號，指出哪個使用者可以串連伺服器，從哪裡串連，串連後能做什麼。MySQL 3.22.11開始引入兩條語句使得這項工作更容易做：GRANT語句建立MySQL使用者並指定其許可權，而REVOKE語句刪除許可權。兩條語句扮演了MySQL資料庫的前端角色，並提供與直接操作這些表的內容不同的另一種方法。CREATE和REVOKE語句影響4個表：

還有第5個授權表（host），但它不受GRANT和REVOKE的影響。

當你對一個使用者發出一條GRANT語句時，在user表中為該使用者建立一條記錄。如果語句指定任何全域許可權（系統管理權限或適用於所有資料庫的許可權），這些也記錄在user表中。如果你指定資料庫、表和列級許可權，他們被分別記錄在db、tables_priv和columns_priv表中。

用GRANT和REVOKE比直接修改授權表更容易些，然而，建議你閱讀一下《MySQL安全性指南》。這些表異常重要，而且作為一名管理員，你應該理解它們如何超越GRANT和REVOKE語句的功能水平。

在下面的章節中，我們將介紹如何設定MySQL使用者帳號並授權。我們也涉及如何撤權和從授權表中刪除使用者。

你可能也想考慮使用MySQLACCESS和mysql_setpermission指令碼，它是MySQL分發的一部分，它們是Perl指令碼，提供GRANT語句的另一種選擇設定使用者帳號。MySQL_setpermission需要安裝DBI支援。

1、建立使用者並授權

GRANT語句的文法看上去像這樣：
　

以下為引用的內容： 　　GRANT privileges (columns) 　　ON what 　　TO user IDENTIFIED BY "password" 　　WITH GRANT OPTION

要使用該語句，你需要填寫下列部分：

privileges

授予使用者的許可權，下表列出可用於GRANT語句的許可權指定符：

上表顯示在第一組的許可權指定符適用於資料庫、表和列，第二組數系統管理權限。一般，這些被相對嚴格地授權，因為它們允許使用者影響伺服器的操作。第三組許可權特殊，ALL意味著“所有許可權”，UASGE意味著無許可權，即建立使用者，但不授予許可權。

columns

許可權運用的列，它是可選的，並且你只能設定列特定的許可權。如果命令有多於一個列，應該用逗號分開它們。

what

許可權運用的層級。許可權可以是全域的（適用於所有資料庫和所有表）、特定資料庫（適用於一個資料庫中的所有表）或特定表的。可以通過指定一個columns字句是許可權是列特定的。

user

許可權授予的使用者，它由一個使用者名稱和主機名稱組成。在MySQL中，你不僅指定誰能串連，還有從哪裡串連。這允許你讓兩個同名使用者從不同地方串連。MySQL讓你區分他們，並彼此獨立地賦予許可權。

MySQL中的一個使用者名稱就是你串連伺服器時指定的使用者名稱，該名字不必與你的Unix登入名稱或Windows名聯絡起來。預設地，如果你不明確指定一個名字，客戶程式將使用你的登入名稱作為MySQL使用者名稱。這隻是一個約定。你可以在授權表中將該名字改為nobody，然後以nobody串連執行需要超級使用者權限的操作。

password

賦予使用者的口令，它是可選的。如果你對新使用者沒有指定IDENTIFIED BY子句，該使用者不賦給口令（不安全）。對現有使用者，任何你指定的口令將代替老口令。如果你不指定口令，老口令保持不變，當你用IDENTIFIED BY時，口令字串用改用口令的字面含義，GRANT將為你編碼口令，不要象你用SET PASSWORD 那樣使用password()函數。

WITH GRANT OPTION子句是可選的。如果你包含它，使用者可以授予許可權通過GRANT語句授權給其它使用者。你可以用該子句給與其它使用者授權的能力。

使用者名稱、口令、資料庫和表名在授權表記錄中是大小寫敏感的，主機名稱和列名不是。

一般地，你可以通過詢問幾個簡單的問題來識別GRANT語句的種類：

誰能串連，從那兒串連？

使用者應該有什麼層級的許可權，他們適用於什嗎？

使用者應該允許系統管理權限嗎？

下面就討論一些例子。

1.1 誰能串連，從那兒串連？

你可以允許一個使用者從特定的或一系列主機串連。有一個極端，如果你知道降職從一個主機串連，你可以將許可權局限於單個主機：
　　
GRANT ALL ON samp_db.* TO boris@localhost IDENTIFIED BY "ruby"

GRANT ALL ON samp_db.* TO fred@res.mars.com IDENTIFIED BY "quartz"

(samp_db.*意思是“samp_db資料庫的所有表)另一個極端是，你可能有一個經常旅行並需要能從世界各地的主機串連的使用者max。在這種情況下，你可以允許他無論從哪裡串連：

GRANT ALL ON samp_db.* TO max@% IDENTIFIED BY "diamond"

“%”字元起萬用字元作用，與LIKE模式比對的含義相同。在上述語句中，它意味著“任何主機”。所以max和max@%等價。這是建立使用者最簡單的方法，但也是最不安全的。

取其中，你可以允許一個使用者從一個受限的主機集合訪問。例如，要允許mary從snake.net域的任何主機串連，用一個%.snake.net主機指定符：

GRANT ALL ON samp_db.* TO mary@.snake.net IDENTIFIED BY "quartz";

如果你喜歡，使用者識別碼的主機部分可以用IP地址而不是一個主機名稱來給定。你可以指定一個IP地址或一個包含模式字元的地址，而且，從MySQL 3.23，你還可以指定具有指出用於網路號的位元的網路遮罩的IP號：

GRANT ALL ON samp_db.* TO boris@192.168.128.3 IDENTIFIED BY "ruby"

GRANT ALL ON samp_db.* TO fred@192.168.128.% IDENTIFIED BY "quartz"

GRANT ALL ON samp_db.* TO rex@192.168.128.0/17 IDENTIFIED BY "ruby"

第一個例子指出使用者能從其串連的特定主機，第二個指定對於C類子網192.168.128的IP模式，而第三條語句中，192.168.128.0/17指定一個17位網路號並匹配具有192.168.128頭17位的IP地址。

如果MySQL抱怨你指定的使用者值，你可能需要使用引號（只將使用者名稱和主機名稱部分分開加引號）。

GRANT ALL ON samp_db.president TO "my friend"@"boa.snake.net"

1.2 使用者應該有什麼層級的許可權和它們應該適用於什嗎？

你可以授權不同層級的許可權，全域許可權是最強大的，因為它們適用於任何資料庫。要使ethel成為可做任何事情的超級使用者，包括能授權給其它使用者，發出下列語句：

GRANT ALL ON *.* TO ethel@localhost IDENTIFIED BY "coffee" WITH GRANT OPTION

ON子句中的*.*意味著“所有資料庫、所有表”。從安全考慮，我們指定ethel只能從本地串連。限制一個超級使用者可以串連的主機通常是明智的，因為它限制了試圖破解口令的主機。

有些許可權（FILE、PROCESS、RELOAD和SHUTDOWN）是系統管理權限並且只能用"ON *.*"全域許可權指定符授權。如果你願意，你可以授權這些許可權，而不授權資料庫許可權。例如，下列語句設定一個flush使用者，他只能發出flush語句。這可能在你需要執行諸如清空日誌等的管理指令碼中會有用：

GRANT RELOAD ON *.* TO flushl@localhost IDENTIFIED BY "flushpass"

一般地，你想授權系統管理權限，吝嗇點，因為擁有它們的使用者可以影響你的伺服器的操作。

資料庫級許可權適用於一個特定資料庫中的所有表，它們可通過使用ON db_name.*子句授予：

GRANT ALL ON samp_db TO bill@racer.snake.net INDETIFIED BY "rock"

GRANT SELECT ON samp_db TO ro_user@% INDETIFIED BY "rock"

第一條語句向bill授權samp_db資料庫中所有表的許可權，第二條建立一個嚴格限制訪問的使用者ro_user（唯讀使用者），只能訪問samp_db資料庫中的所有表，但只有讀取，即使用者只能發出SELECT語句。
　　
你可以列出一系列同時授予的各個許可權。例如，如果你想讓使用者能讀取並能修改現有資料庫的內容，但不能建立新表或刪除表，如下授予這些許可權：

GRANT SELECT,INSERT,DELETE,UPDATE ON samp_db TO bill@snake.net INDETIFIED BY "rock"

對於更精緻的存取控制，你可以在各個表上授權，或甚至在表的每個列上。當你想向使用者隱藏一個表的部分時，或你想讓一個使用者只能修改特定的列時，列特定許可權非常有用。如：

GRANT SELECT ON samp_db.member TO bill@localhost INDETIFIED BY "rock"

GRANT UPDATE (expiration) ON samp_db. member TO bill@localhost

第一條語句授予對整個member表的讀許可權並設定了一個口令，第二條語句增加了UPDATE許可權，當只對expiration列。沒必要再指定口令，因為第一條語句已經指定了。

如果你想對多個列授予許可權，指定一個用逗號分開的列表。例如，對assistant使用者增加member表的地址欄位的UPDATE許可權，使用如下語句，新許可權將加到使用者已有的許可權中：

GRANT UPDATE (street,city,state,zip) ON samp_db TO assistant@localhost

通常，你不想授予任何比使用者確實需要的許可權寬的許可權。然而，當你想讓使用者能建立一個暫存資料表以儲存中間結果，但你又不想讓他們在一個包含他們不應修改內容的資料庫中這樣做時，發生了要授予在一個資料庫上的相對寬鬆的許可權。你可以通過建立一個分開的資料庫（如tmp）並授予開資料庫上的所有許可權來進行。例如，如果你想讓來自mars.net域中主機的任何使用者使用tmp資料庫，你可以發出這樣的GRANT語句：

GRANT ALL ON tmp.* TO ""@mars.net

在你做完之後，使用者可以建立並用tmp.tbl_name形式引用tmp中的表（在使用者指定符中的""建立一個匿名使用者，任何使用者均匹配空白使用者名稱）。

1.3 使用者應該被允許系統管理權限嗎？

你可以允許一個資料庫的擁有者通過授予資料庫上的所有擁有者許可權來控制資料庫的訪問，在授權時，指定WITH GRANT OPTION。例如：如果你想讓alicia能從big.corp.com域的任何主機串連並具有sales資料庫中所有表的管理員權限，你可以用如下GRANT語句：

GRANT ALL ON sales.* TO alicia@%.big.corp.com INDETIFIED BY "applejuice" WITH GRANT OPTION

在效果上WITH GRANT OPTION子句允許你把訪問授權的權利授予另一個使用者。要注意，擁有GRANT許可權的兩個使用者可以彼此授權。如果你只給予了第一個使用者SELECT許可權，而另一個使用者有GRANT加上SELECT許可權，那麼第二個使用者可以是第一個使用者更“強大”。

2 撤權並刪除使用者

要取消一個使用者的許可權，使用REVOKE語句。REVOKE的文法非常類似於GRANT語句，除了TO用FROM取代並且沒有INDETIFED BY和WITH GRANT OPTION子句：

REVOKE privileges (columns) ON what FROM user

user部分必須匹配原來GRANT語句的你想撤權的使用者的user部分。privileges部分不需匹配，你可以用GRANT語句授權，然後用REVOKE語句只撤銷部分許可權。

REVOKE語句只刪除許可權，而不刪除使用者。即使你撤銷了所有許可權，在user表中的使用者記錄依然保留，這意味著使用者仍然可以串連伺服器。要完全刪除一個使用者，你必須用一條DELETE語句明確從user表中刪除使用者記錄：

　　%mysql -u root MySQL
　　MySQL>DELETE FROM user
　　->WHERE User="user_name" and Host="host_name";
　　MySQL>FLUSH PRIVILEGES;

DELETE語句刪除使用者記錄，而FLUSH語句告訴伺服器重載授權表。（當你使用GRANT和REVOKE語句時，表自動重載，而你直接修改授權表時不是。