Пользовательские привилегии.

Может пригодиться:

Реклама:

Просмотр пользовательских привилегий

SHOW GRANTS;
SHOW GRANTS FOR пользователь;

С помощью команды SHOW GRANTS можно проверить, какими правами обладает пользователь. Информация, полученная в результате ee выполнения, представляет собой список выражений GRANT, которые можно использовать для повторного назначения тех жe привилегий.

SHOW GRANTS FOR 'zak'@'localhоst';

При выполнении данной команды будет получен результат, подобный приведенному ниже.

Grants for zak@localhost
GRANT USAGE ON zakdb.* то 'zak'@'loсalhоst'
IDENTIFIED BY PASSWORD '57104f8717923cb5'
GRANT SELECT, INSERT ON sampdb. mytable,
T0 'zak'@'localhost'

Заметьте, что мы получаем информацию o том, что пароль устaновлен, но сам пароль отображается в зашифрованном виде. Способа декодировать зашифрованную строку не существует.

Если в составе команды SHOW GRANTН выражение FOR отсутствует, отображаются привилегии текущего пользователя. Команда SHOW GRANTS эквивалентна команде, приведенной ниже.

SHOW GRANTS FOR CURRENT_USER() ;



Удаление пользовательских привилегий

REVOKE привилегии ON база.таблица
FROM пользователь@узел;

для того чтобы удалить одну или несколько привилегий, которыми облaдает пользователь, надо использовать команду REVOKE. B составе этой коман­ды задается список прав, разделенных запятыми, либо ключевые слова ALL PRIVILEGES. B последнем случае удаляются все привилегии, перечисленные в табл. 6.1. Для того чтобы удалить все права доступа, включая GRANT OPTION, надо использовать выражение, подобное приведенному ниже.

REVOKE ALL PRIVILEGES, GRANT OPTION
ON sampdb.mytable
FROМ 'zak'@'localhost';



Запрещение доступа по сети

skip-networking

для того чтобы запретить пользователю удаленный доступ по сети ТСР/IP, надо добавить в файл mу.cnf выражение skip-networking либо указать при запуске mysgld опцию --skip-networking. B результате MysQL будет принимать обращения только c локaльного узла.

Если доступ по сети запрещен, пользователи не смогут обращаться к MySQL c удаленных узлов, несмотря на то, что при создании учетной записи такое обращение было разрешено.

Если вы разрешите удаленное обращение к MysQL, то на каждом брандмауэре, находящемся между пользовательским компьютером и сервером MysQL, должно быть разрешено прохождение трафика для соответствующего порта. По умолчанию MysQL использует порт 3306.



Запрет аутентификации пользователей

I skip-grant-tablеs

Предположим, что вы забыли пароль администратора и вам необходимо установить новый пароль. Для этого надо перезапустить MysQL, запретив аутентификацию пользователей.

Чтoбы завершить или перезапустить процесс mysgld, надо иметь права системного администратора. Остaновив сервер MysQL, добaвьте в файл mу.cnf запись skip-grant-tables. Тот же результат можно получить, указав при запуске mysgld опцию -­skip-grant-tables.

Если MySQL выполняется в описанном режиме, вы можете установить соединение, не указывая пароля.

mysgl -u root

Затем можно обычным способом задать новый пароль для пользователя root. Чтoбы восстановить режим аутентификации пользователей, надо вы­полнить команду FLUSH PRIVILEGES либо перезапуcтить сервер MysQL, не зaдавая skip-grant­tables.

Внимание!

Помните, что если программа mysgld запущена c параметром skip-grant-tаЫеs, то любой пользователь может установить соединение c базой данных. Поэтому завершите работу в данном режиме как можно скорее. Желательно также запретить обращения по сети, используя skiр-net­-working, и убедиться в том, что ни один пользователь не зарегистрирован на локальной машине.



Использование SSL-соединений

Для шифрования информации, которой клиент обменивается c сервером базы данных, MySQL может использовать SSL. Данная возможность должна быть включена во время компиляции сервера. Чтобы узнать, можно ли воспользоваться SSL, нaдо выполнить следующую команду:

SHOW VARIABLES LIKE 'have_openssl';

B результате будет получена информация o том, возможен ли обмен по защищенному каналу. Если данное средство отключено, вам надо перекомпилировать сервер MySQL, указав при конфигурировании опции --with-vio и --with-openssl.

На заметку:

B версии MySQL 5.0.10 были реализованы встроенные средства для поддержки сетевого взаимодействия c SSL-шифрованием, используя yaSSL. Для активизации этой возможности надо указать на этапе компиляции --with-yassl=yes. B противном случае используется версия OpenSSL.

Для того чтобы установить соединение по защищенному каналу, надо либо иметь в наличии три файла сертификатов, либо иметь возможность сгенерировать их. Это сертификат Certificate Authority (СА), сертификат сервера и сертификат клиента.

Добавьте в раздел [mуsqld] файла mу.cnf привенные ниже строки. Так вы укажете расположение каждого из файлов сертификатов, которые должны быть использованы при организации взаимодействия c сервером.

ssl-са=/путь/к/сертификату/CА
ssl-cert=/путь/к/сертификату/сервера
ssl-key=/путь/к/сертификату/клиента

Установки клиента производятся в разделе [сlient] файла mу.cnf. Они идентичны установкам сервера. Для клиента и для сервера следует использовать один и тот же набор файлов сертификатов. Можно также указать сертификаты в командной строке при запуске mysgl.

mуsgl
--ssl-са=/путь/к/сертификату/сА \
--ssl-cert=/путь/к/сертификату/сервера \
--ssl-key=/путь/к/сертификату/клиента







Пер. с англ. - М.: ООО "И.Д.Вильямс", 2006.

Спонсор сайта:

Реклама: