MySQL 8账户锁定作为我的持续关注MySQL 8用户和密码管理,我介绍了新的双重密码特性的DBA可以减少整体工作量和简化管理流程(见MySQL 8:双重密码)。这不是唯一的变化在MySQL 8用户/密码管理;更安全的变化之一是实施临时帐户锁定,在MySQL 8.0.19首次引入。现在使用这个功能,数据库管理员可以配置用户帐户,太多的连续失败登录可以暂时锁定账户。

帐户锁定功能只适用于客户未能在连接请求提供一个正确的密码。它并不适用于未能连接其他原因(网络问题,未知的用户帐户,等等)。在双重密码的情况下,这两个账户已设置的密码将被视为正确的身份验证成功。

使用MySQL 8帐户锁定

可配置选项FAILED_LOGIN_ATTEMPTSPASSWORD_LOCK_TIME,都使用的创建用户改变用户语句。两个用法示例:

一旦用户已经设置了这些选项,太多的连续登录失败将导致一个错误:

FAILED_LOGIN_ATTEMPTS N

这个选项决定是否跟踪帐户登录尝试与一个不正确的密码。连续数N指定有多少错误密码尝试将锁定账户。

PASSWORD_LOCK_TIME (N |无限)

这个选项显示多久一个帐户将保持锁定在连续太多不正确的密码后尝试。N指定的天数将保持锁定账户。作为一个永久帐户锁定,设置这个无限的规定,锁定状态的持续时间现在是无界的,不结束,直到手动解锁帐户。

  • 两个选项,允许N的值在0到32767之间。注意,如果将该值设置为0,选项是禁用的。
  • 注意,对于失败的登录跟踪和锁定为一个账户发生,以上选项都必须被设置为非零值。
  • 当创建一个新用户,不是指定的选项,任何账户的隐含的默认值是0在声明中命名。
    • 换句话说,失败的登录追踪和临时帐户锁定被禁用如果不指定这些选项。
    • 这也适用于任何账户之前创建的这个特性。
  • 当改变一个用户,不指定上述选项意味着现有的值将被声明为所有账户维持不变。
  • 临时帐户锁定,必须连续密码失败。
    • 任何成功的登录在到达FAILED_LOGIN_ATTEMPTS值之前,用户将重置失败数。
  • 一旦一个帐户被暂时锁定,它甚至无法登录使用正确的密码,直到锁定持续时间已通过或帐户解锁到下面的账户重置方法之一。

重置帐户锁

关于失败的登录状态信息为每个帐户跟踪,和帐户锁定状态,每次发生服务器读取授权表。一个帐户的状态信息可以重置,重置失败的登录数和释放如果它已经锁定账户。全球所有帐户或帐户重置可以局限于单一账户。

全局重置

  • 全局重置所有账户发生的下列条件:
    • MySQL服务器重启。
    • 冲洗的执行权限。

单独的帐户重置

  • 每次重置发生的下列条件:
    • 成功登录的帐户。
    • 过期的锁定时间。
      • 失败的登录计数重置和简历的时候下的登录尝试。
    • 用户执行ALTER语句的账户设置上面的选项(或两者)的任何值,或改变用户…解锁的执行语句的帐户。
      • 没有其他改变用户的陈述有任何影响失败的登录柜台或帐户锁定状态。

帐户锁定行为

帐户锁定状态记录在“account_locked”列的mysql。用户系统表。的输出显示创建用户指示是否一个帐户被锁定或解锁。

如果一个客户机试图连接到一个帐户被锁定,尝试会失败。在这种情况下,服务器也增加“Locked_connects”状态变量表示的数量尝试连接到一个锁定帐户,将显示一条错误消息,并尝试登录到MySQL错误日志:

锁定一个帐户不影响连接使用一个代理用户假定的身份锁定帐户。也不影响执行存储过程的能力或视图定义者的属性设置为锁定账户。

在关闭

虽然这是另一个相对简单的功能,它可以极大地影响你的公司如何管理安全方面的失败的登录尝试。这导致更安全的数据库环境和更好的客户管理。拥有这种能力也被证明有用的维护操作期间禁用访问从特定的帐户或作为一种安全措施锁定和解锁特权帐户仅在应用程序的维护。

未运行MySQL 8吗?同事指出,类似的功能是在MySQL利用的早期版本中可用连接控制插件。这个插件,太多的连续失败会增加服务器响应的延迟来帮助避免或最小化蛮力攻击。如果有兴趣,我可以介绍这个插件的更多细节在以后的博文。让我知道!

完成2021年Percona开源数据雷竞技下载官网管理软件的调查

你的意见!

订阅
通知的
客人

0评论
内联反馈
查看所有评论