LabEx
ВходРегистрация

Управление пользователями и привилегиями в MySQL

MySQLBeginner
Практиковаться сейчас

Введение

В этом практическом занятии (лабораторной работе) мы рассмотрим управление пользователями и привилегиями в MariaDB, которые являются важными навыками для обеспечения безопасности вашей базы данных. Вы научитесь создавать и управлять учетными записями пользователей, назначать соответствующие привилегии и просматривать разрешения. С помощью практических упражнений вы получите практический опыт в выполнении этих важных операций по безопасности базы данных и поймете, как реализовать базовые меры безопасности в MariaDB. Эти знания являются фундаментальными для любого администратора базы данных, чтобы обеспечить правильный контроль доступа и защиту данных.

Создание и управление учетными записями пользователей

Сначала подключитесь к MySQL в качестве root:

sudo mysql -u root

Создание пользователей

Создадим пользователей с разными шаблонами доступа:

-- Создать пользователя, который может подключаться только с локального хоста
CREATE USER 'hr_user'@'localhost' IDENTIFIED BY 'hr123';

-- Создать пользователя, который может подключаться с любого хоста
CREATE USER 'reports_user'@'%' IDENTIFIED BY 'reports123';

-- Создать пользователя без пароля (не рекомендуется для продакшена)
CREATE USER 'intern'@'localhost';

@'localhost' ограничивает подключения только к локальной машине, в то время как @'%' позволяет подключаться с любого хоста. Создание пользователей без паролей не рекомендуется для производственных окружений.

Чтобы увидеть созданных пользователей:

SELECT User, Host FROM mysql.user;

Ожидаемый вывод показывает всех пользователей в системе:

+--------------+-----------+
| User         | Host      |
+--------------+-----------+
| reports_user | %         |
| hr_user      | localhost |
| intern       | localhost |
| mariadb.sys  | localhost |
| mysql        | localhost |
| root         | localhost |
+--------------+-----------+

Управление существующими пользователями

Для изменения существующих пользователей:

-- Изменить пароль пользователя
SET PASSWORD FOR 'intern'@'localhost' = PASSWORD('intern123');

-- Требовать от пользователя изменить пароль при следующем входе
ALTER USER 'hr_user'@'localhost' PASSWORD EXPIRE;

Опция PASSWORD EXPIRE заставляет пользователей изменить пароль при следующем входе - это полезно для временных паролей.

Для удаления пользователя:

-- Удалить пользователя
DROP USER 'reports_user'@'%';

После удаления пользователя убедитесь, что список пользователей обновился:

+-------------+-----------+
| User        | Host      |
+-------------+-----------+
| hr_user     | localhost |
| intern      | localhost |
| mariadb.sys | localhost |
| mysql       | localhost |
| root        | localhost |
+-------------+-----------+

Назначение привилегий

Теперь мы научимся назначать различные типы привилегий, чтобы контролировать, что могут делать пользователи.

Базовое управление привилегиями

Назначим некоторый базовый набор привилегий нашему пользователю HR:

-- Назначить привилегии SELECT и INSERT на таблицу company_db.employees
GRANT SELECT, INSERT ON company_db.employees TO 'hr_user'@'localhost';

-- Проверить назначенные привилегии
SHOW GRANTS FOR 'hr_user'@'localhost';

Команда GRANT назначает конкретные разрешения (SELECT, INSERT) на конкретные объекты базы данных пользователям. Команда SHOW GRANTS отображает текущие привилегии.

Ожидаемый вывод:

+----------------------------------------------------------------------------------------------------------------+
| Grants for hr_user@localhost                                                                                   |
+----------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO `hr_user`@`localhost` IDENTIFIED BY PASSWORD '*27DB7FC6D35D1F5E6A4C37473D9018DD46DC2944' |
| GRANT SELECT, INSERT ON `company_db`.`employees` TO `hr_user`@`localhost`                                      |
+----------------------------------------------------------------------------------------------------------------+

Разные уровни привилегий

MariaDB поддерживает привилегии с разной степенью детализации:

-- Глобальные привилегии (для всех баз данных)
GRANT CREATE USER ON *.* TO 'intern'@'localhost';

-- Привилегии на уровне базы данных
GRANT ALL PRIVILEGES ON company_db.* TO 'hr_user'@'localhost';

-- Привилегии на уровне таблицы
GRANT SELECT, UPDATE ON company_db.employees TO 'intern'@'localhost';

-- Привилегии на уровне столбца
GRANT SELECT (name, department), UPDATE (department)
ON company_db.employees TO 'intern'@'localhost';

Синтаксис *.* относится ко всем базам данных и таблицам, в то время как database.* относится ко всем таблицам в конкретной базе данных. Привилегии на уровне столбцов позволяют осуществлять тонкий контроль доступа.

Отзыв привилегий

Для отзыва привилегий:

-- Отозвать конкретные привилегии
REVOKE INSERT ON company_db.employees FROM 'hr_user'@'localhost';

-- Отозвать ВСЕ привилегии
REVOKE ALL PRIVILEGES ON company_db.employees FROM 'intern'@'localhost';

Всегда проверяйте изменения привилегий после их отзыва с помощью команды SHOW GRANTS.

MariaDB [(none)]> SHOW GRANTS FOR 'hr_user'@'localhost';
+----------------------------------------------------------------------------------------------------------------+
| Grants for hr_user@localhost                                                                                   |
+----------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO `hr_user`@`localhost` IDENTIFIED BY PASSWORD '*27DB7FC6D35D1F5E6A4C37473D9018DD46DC2944' |
| GRANT ALL PRIVILEGES ON `company_db`.* TO `hr_user`@`localhost`                                                |
| GRANT SELECT ON `company_db`.`employees` TO `hr_user`@`localhost`                                              |
+----------------------------------------------------------------------------------------------------------------+

MariaDB [(none)]> SHOW GRANTS FOR 'intern'@'localhost';
+---------------------------------------------------------------------------------------------------------------+
| Grants for intern@localhost                                                                                   |
+---------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO `intern`@`localhost` IDENTIFIED BY PASSWORD '*A381F474A9DDCAA5BC97DAB83A69431B1C8D8902' |
+---------------------------------------------------------------------------------------------------------------+

Резюме

В этом практическом занятии (лабораторной работе) мы рассмотрели основные аспекты управления пользователями и привилегиями в MariaDB:

  1. Создание и управление учетными записями пользователей с различными ограничениями подключения
  2. Назначение и отзыв привилегий на различных уровнях (глобальном, уровне базы данных, уровне таблицы, уровне столбца)

Эти навыки являются фундаментальными для обеспечения безопасности вашей установки MariaDB и реализации правильного контроля доступа. Понимание управления пользователями и привилегиями является важным для поддержания безопасности базы данных и обеспечения того, чтобы пользователи имели соответствующий доступ к ресурсам базы данных.

Связанные MySQL Курсы
MySQL для начинающих

MySQL для начинающих

databasemysql
Практические лабораторные работы по продвинутому MySQL

Практические лабораторные работы по продвинутому MySQL

databasemysql
Управление правами пользователей MySQL

Управление правами пользователей MySQL

databasemysql