mysql|ユーザー管理
MySQL には高度ではありますが、標準ではないセキュリティ/認可システムが備わっています。その認可メカニズムを習得することは、SQL の基本操作に慣れている人にとっては最も難しいステップでもあります。 MySQL について学ぶことは理解の一部です。この記事では、その認証システムの動作メカニズムを明らかにすることで、この優れたデータベース システムを誰もがより適切に操作し、使用できるようになることを願っています。
この記事は主に、MySQL インストールに添付されているユーザーマニュアルの第 6 章の内容の一部を参照しています。
1. 承認メカニズムの主な機能は何ですか?
認可メカニズムの基本的な機能は、特定のホスト上のユーザーに、特定のデータベースに対する選択、挿入、更新、および削除の権限を与えることです。その追加機能には、データベースの匿名使用を許可するかどうかや、LOAD DATA INFILE などの MysQL の特定の関数の使用を許可するかどうかが含まれます。ここで、MySQL のユーザー名は Unix システムのユーザー名とは関係がないことに注意してください。多くのクライアント プログラムでは現在のユーザー名でログインできますが、最も標準的な方法は --user オプションを使用することです。
2. 承認メカニズムはどのように機能しますか?
MySQL では、ホストとユーザーの結合が唯一の識別子とみなされます。たとえば、ホスト 1 とホスト 2 のユーザー lee は実際には異なり、MySQL を使用する権限も異なる可能性があります。認可メカニズム全体の中核となる問題は、特定のホストからログインしたユーザーに特定のデータベースを使用する権限を与えることです。スクリプト mysqlaccess を使用して、ホスト上のデータベース操作に対するユーザーの権限をテストできます。すべての認証情報は、データベース mysql の user、host、db テーブルに保存されます。 mysql mysql コマンドを使用してこのデータベースに接続し、select * from user (または db、host) を使用して各データ テーブルの内容を表示できます。 user テーブルで付与される権限は、認可メカニズム全体の基本的な認可です。つまり、db テーブルで別途定義されていない限り、user の定義は任意のユーザー + ホストに適用されます。特定のデータベースに基づいて承認します。ホスト テーブルの主な目的は、「安全な」サーバーのリストを維持することです。特定のデータベースに対する特定のユーザー/ホストの権限を具体的に検討する場合、認可メカニズムの一致する検索メカニズムについても検討する必要があります:
第二に、ユーザーのパスワードは認可メカニズムで暗号化できますが、暗号化する必要があります。暗号化方式はpassword('password')です。パスワードを直接入力するとデータベースにアクセスできなくなります。 user テーブルで付与される権限は、認可メカニズム全体の基本的な認可です。つまり、db テーブルで別途定義されていない限り、user の定義は任意のユーザー + ホストに適用されます。特定のデータベースに基づいて承認します。ホスト テーブルの主な目的は、「安全な」サーバーのリストを維持することです。特定のデータベースに対する特定のユーザー/ホストの権限を具体的に検討する場合、認可メカニズムの一致検索メカニズムも検討する必要があります:
まず、均一マッチングの概念を導入する必要があります。「」という文字が含まれます。 %"。これは任意 (ホスト、ユーザー、またはデータベース) を意味し、レコードが空の場合も任意を意味します。次に、ユーザーのパスワードは認証メカニズムで暗号化できますが、暗号化方法は、password('password') である必要があります。パスワードを直接入力すると、データベースにアクセスできなくなります。
これら 3 つのテーブルの表示から、これら 3 つのテーブルの各レコードには特定のユーザーの認可状況の説明が含まれており、MySQL データベース内のいくつかの関連する認可メカニズム データ テーブルが次の順序で検索されることがわかります。 、データベース、ホスト。つまり、最初にユーザー データ テーブルを検索し、最初に一致したレコードを見つけて、ユーザー データ テーブル内の最初に一致したレコードを Priv と呼び、次に db テーブルを検索して、対応する権限を取得します。 db データ テーブルの対応するレコードのホスト フィールドが空で、Priv レコードのホストがホスト テーブルのホスト フィールドにも含まれている場合、特定のユーザーのホストをユーザー テーブルに追加できます。表内の一部の権限設定は「Y」です。 db テーブルのホスト フィールドが空でない場合、ユーザー/ホストの認可には影響しません。
これを理解した後、各データ テーブル内のレコードの検索の優先順位、つまり最初に一致するレコードを決定する方法について議論する必要があります。確かに、これはデータ テーブル内のレコードの自然な順序に従っていません。各データテーブルの各レコードの優先順位は次のように配置されます。
(1) ユーザーテーブル: 最初にホスト、次にユーザーの順序に従って決定されます。検索ルールは、ワイルドカードを含まないレコード、ワイルドカードを含むレコード、および空のレコードです。同じホスト内では、引き続きユーザーごとにルールが設定されます。
(2) db テーブル: 検索の順序は、ホスト フィールドに従って決定されます: ワイルドカードを含まないレコード、ワイルドカードを含むレコード、および空のレコード。
(3) ホスト テーブル: 検索順序は、ホスト フィールドに従って決まります。ワイルドカードを含まないレコード、ワイルドカードを含むレコード、空のレコードです。次の例を使用して、一致する検索のルールを説明します。 これらのデータ テーブルを変更する場合は、変更を有効にするために mysqladmin reload を使用する必要があることに注意してください。
デモ システムが検索を実行する方法は次のとおりです。
+-----------+---------+-
|
| --------+--------+-
| ルート |
| | | ...
+----------+----------+-
localhost/root
localhost/any
any/jeffrey である必要があります。
any/root
このように、localhost 上のユーザー jeffrey がデータベースに接続したい場合、その承認は "any"/ で指定された権限ではなく、localhost/"any" 行で指定された権限に基づく必要があります。 jeffrey line 設定が不適切な場合、このデータベースシステムを正常に使用できなくなる可能性があるため、注意してください。
ユーザーを追加する例を見てみましょう。ホスト「localhost」、「server.domain」、「whitehouse.gov」からデータベースに接続する「custom」というユーザーとそのパスワードを追加する必要があります。データベース「bankaccount」については「localhost」からのみアクセスしたいのですが、「customer」データベースには上記の 3 つのホストからアクセスする必要があります。次の SQL ステートメントを通じて操作を完了します。
shell> mysql mysql>
values('localhost','custom',password('stupid'))
values('server.ドメイン','カスタム',パスワード('stupid'));
mysql> ユーザー (ホスト,ユーザー,パスワード) に挿入
values('whitehouse.gov','custom',password ('stupid'));
mysql> データベースに挿入
(host,db,user,Select_priv,Insert_priv,Update_priv,Delete_priv,
Create_priv,Drop_priv)
values('localhost','bankaccount','custom' ,'Y',' Y','Y','Y','Y','Y');
mysql> データベースに挿入
(host,db,user,Select_priv,Insert_priv,Update_priv,Delete_priv,
Create_priv ,Drop_priv)
values
('%','customers','custom','Y','Y','Y','Y','Y','Y');
3. 認可データテーブル
テーブルに対するデータ テーブル行の操作には選択、挿入、更新、削除が含まれ、テーブルとデータベースに対する操作には作成と削除が含まれます。その他の権限には、LOAD DATA INFILE と SELECT INTO OUTFILE、および管理コマンド (シャットダウン、リロード、リフレッシュ、およびプロセス) が含まれます。 3 つの権限データ テーブルの構造は次のとおりです:
ユーザー テーブル
フィールド タイプ キーのデフォルト値
ホスト char (60 ) PRI ""
ユーザー char(16) PRI ""
パスワード char(16) - ""
Select_priv enum('N','Y') - N
Insert_priv enum('N','Y') - N
Update_priv enum('N','Y') - N
Delete_priv enum('N','Y') - N
Create_priv enum('N','Y') - N
Drop_priv enum('N', 'Y') ') - N
Reload_priv enum('N','Y') - N
Shutdown_priv enum('N','Y') - N
Process_priv enum('N','Y') - N
File_priv enum( 'N','Y') - N
dbテーブル
フィールドタイプキーデフォルト値
Host char(60) PRI ""
Db char(64) PRI ""
User char(16) PRI ""
Select_priv enum ('N','Y') - N
Insert_priv enum('N','Y') - N
Update_priv enum('N','Y') - N
Delete_priv enum('N',' Y' ) - N
Create_priv enum('N','Y') - N
Drop_priv enum('N','Y') - N
host テーブルの db Use のデータ項目に空のホストのみがあります。
フィールドタイプキーのデフォルト値
Host char(60) PRI ""
Db char(64) PRI ""
Select_priv enum('N','Y') - N
Insert_priv enum('N','Y') - N
Update_priv enum('N','Y') - N
Delete_priv enum('N','Y') - N
Create_priv enum('N','Y') - N
Drop_priv enum('N ','Y') - N
均一シンボルをデータテーブルで使用できます。
4. アクセス拒否エラーの最も一般的な原因
(1) mysql_install_db スクリプトを通じて mySQL 認証テーブルを確立しましたか? 正しい環境下では、エラーは発生しません。または、user.ISD というファイルがありますか。通常、その場所は install_dir/var/mysql/user.ISD です。
(2) 初回使用時は、mysql -u root mysql を使用してデータベースにアクセスするか、root として操作する必要があります。
(3) 権限変更後、mysqladmin reloadを使用して更新しましたか?
(4) テスト目的では、--without-grant-tables オプションを使用して mysqld サービスを開始する必要があります。この時点で認可テーブルの関連する内容を変更することも、mysqlaccess を使用して認可が有効かどうかを確認することもできます。が設置されています。
(5) パスワード("password")を使用せずにパスワードを設定した場合、-pオプションを使用する場合は、-ppasswordの間にスペースが入らないように注意してください。
5. MySQL をより安全にする方法は?
(1) MySQL ユーザーごとにパスワードを使用します。パスワードを追加しない場合、他の人が通過できることを覚えておいてください
mysql --user other_user データベースを使用してデータベースにアクセスすると、検出に MySQL を使用するときに、対応する警告情報も表示されます。
(2) MySQL サービスを開始するのに root モードを使用しないでください。 MySQL は任意のユーザーとして起動できます。新しいユーザーを追加することでデータベース サービスを開始できます。 MySQL ユーザーと Unix ユーザーは根本的に異なるため、これはシステムには影響しません。
(3) 「Process_priv」、「File_priv」およびその他の権限を誰にも与えないでください。
(4) DNS を信頼できない場合は、ホスト名の代わりに IP を使用する必要があります。いずれの場合でも、ホスト名を先頭に付ける場合は注意してください。次のオプションの一部は、システムのセキュリティに影響を与える可能性があります:
--secure
名前が示すように、IP アドレスの一貫性をチェックできるため、システムのルートをより安全にすることができます。 (実際の接続 IP アドレスと解決された IP アドレス) ただし、これにより、ファイアウォールが動作しているときに、ファイアウォールの外側の人々が mySQL にアクセスすることが困難になります。
--skip-grant-tables
通常、このオプションは使用しないでください。このオプションを使用すると、誰でもシステムに無制限にアクセスできるようになります。
--skip-name-resolve
ホスト名を解決しません。認証データ テーブル内のすべてのホスト名は、IP アドレスまたは 'localhost' である必要があります。
--skip-networking
ネットワーク経由の接続を許可しません。すべての接続は Unix ソケットを経由する必要があります。