MySQL静态和动态权限(第1部分)

MySQL静态和动态的特权 当试图让事情变得更好,使它非常复杂。

我工作在一个安全威胁的工具脚本当我不得不学习更多关于之间的交互静态和动态的特权在MySQL中8。

动态权限是一个“新”的东西添加到MySQL 8轻松地扩展权限定义,同时提供更多的粒度。例如,冲洗操作现在有专门的权限和范围。

在运行时动态分配特权。他们中的大多数服务器启动时是活跃的。但是他们也可以改变对组件或插件时激活。(https://dev.mysql.com/doc/mysql-security-excerpt/8.0/en/privileges-provided.html privileges-provided-dynamic)

在MySQL中静态权限可用经典的特权。(https://dev.mysql.com/doc/mysql-security-excerpt/8.0/en/privileges-provided.html privileges-provided-static)

这些都是内置服务器并不能改变。

到目前为止,一切都好。如果我们能提供更多的灵活性在MySQL现有的安全机制,我完全同意。

我的第一步是处理超级的滥用。

——手册来帮助一个章节从超级动态迁移账户权限。

追求完美!

让我们玩。首先,我创建一个用户:

创建用户secure_test@“localhost”被“秘密”;DC2-2 (secure_test@localhost)[(一)]>显示拨款current_user ();+ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - + |拨款secure_test@localhost | + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - + |格兰特使用*。*“secure_test”@“localhost”| + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +

创建用户 (电子邮件保护) “localhost” 确认的 “秘密”;

DC2- - - - - -2 ((电子邮件保护))((没有一个)]> 显示奖助金为 current_user();

+ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +

| 奖助金为 (电子邮件保护) |

+ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +

| 格兰特使用在 * . * 来 “secure_test”@“localhost”|

+ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +

正如你所看到的我可以连接,但是没有权限。

在另一个终端与一个管理账户,让我们做的经典操作创建一个DBA:

格兰特*。* secure_test@ ' localhost '使用GRANT选项;

1	格兰特所有在 * . * 来 (电子邮件保护) “localhost” 使用GRANT选项;

现在我有:

DC2-2 (secure_test@localhost)[(一)]>显示拨款current_user () \ G * * * * * * * * * * * * * * * * * * * * * * * * * * * 1。行* * * * * * * * * * * * * * * * * * * * * * * * * * *资助secure_test@localhost:格兰特选择、插入、更新、删除、创建、删除、重新加载,关闭,流程,文件,引用,索引,更改显示数据库,超级,创建临时表,锁表,执行复制的奴隶,复制客户,创建视图,显示视图,创建常规,改变程序,创建用户,事件,触发,创建表,创建角色、删除角色*。*“secure_test”@“localhost”与格兰特选择* * * * * * * * * * * * * * * * * * * * * * * * * * * 2。行* * * * * * * * * * * * * * * * * * * * * * * * * * *资助secure_test@localhost:格兰特APPLICATION_PASSWORD_ADMIN AUDIT_ADMIN, BACKUP_ADMIN, BINLOG_ADMIN, BINLOG_ENCRYPTION_ADMIN, CLONE_ADMIN, CONNECTION_ADMIN, ENCRYPTION_KEY_ADMIN, FLUSH_OPTIMIZER_COSTS, FLUSH_STATUS, FLUSH_TABLES, FLUSH_USER_RESOURCES, GROUP_REPLICATION_ADMIN, INNODB_REDO_LOG_ARCHIVE, INNODB_REDO_LOG_ENABLE, PERSIST_RO_VARIABLES_ADMIN, REPLICATION_APPLIER, REPLICATION_SLAVE_ADMIN, RESOURCE_GROUP_ADMIN, RESOURCE_GROUP_USER, ROLE_ADMIN, SERVICE_CONNECTION_ADMIN, SESSION_VARIABLES_ADMIN, SET_USER_ID, SHOW_ROUTINE, SYSTEM_USER SYSTEM_VARIABLES_ADMIN, TABLE_ENCRYPTION_ADMIN, XA_RECOVER_ADMIN *。*“secure_test”@“localhost”与格兰特的选择

DC2- - - - - -2 ((电子邮件保护))((没有一个)]> 显示奖助金为 current_user()\ G

* * * * * * * * * * * * * * * * * * * * * * * * * * *1。行 * * * * * * * * * * * * * * * * * * * * * * * * * * *

奖助金为 (电子邮件保护): 格兰特选择, 插入, 更新, 删除, 创建, 下降, 重新加载, 关闭, 过程, 文件, 引用, 指数, 改变, 显示数据库, 超级, 创建临时表, 锁表, 执行, 复制奴隶, 复制客户端, 创建视图, 显示视图, 创建常规, 改变常规, 创建用户, 事件, 触发, 创建表空间, 创建的角色, 下降角色在 * . * 来 “secure_test”@“localhost” 使用GRANT选项

* * * * * * * * * * * * * * * * * * * * * * * * * * *2。行 * * * * * * * * * * * * * * * * * * * * * * * * * * *

奖助金为 (电子邮件保护): 格兰特 APPLICATION_PASSWORD_ADMIN、AUDIT_ADMIN BACKUP_ADMIN、BINLOG_ADMIN BINLOG_ENCRYPTION_ADMIN, CLONE_ADMIN, CONNECTION_ADMIN, ENCRYPTION_KEY_ADMIN, FLUSH_OPTIMIZER_COSTS, FLUSH_STATUS, FLUSH_TABLES, FLUSH_USER_RESOURCES, GROUP_REPLICATION_ADMIN, INNODB_REDO_LOG_ARCHIVE, INNODB_REDO_LOG_ENABLE, PERSIST_RO_VARIABLES_ADMIN, REPLICATION_APPLIER, REPLICATION_SLAVE_ADMIN, RESOURCE_GROUP_ADMIN, RESOURCE_GROUP_USER, ROLE_ADMIN, SERVICE_CONNECTION_ADMIN, SESSION_VARIABLES_ADMIN, SET_USER_ID, SHOW_ROUTINE,SYSTEM_USER,TABLE_ENCRYPTION_ADMIN SYSTEM_VARIABLES_ADMIN XA_RECOVER_ADMIN 在 * . * 来 “secure_test”@“localhost” 使用GRANT选项

正如你所看到的,我有一堆分配权限。

说实话,必须确定每个特权是什么以及它如何与他人交互是具有挑战性的。

总之,手册告诉我们:

”为每个帐户被前面的查询,确定的操作需要大量的超级。然后动态特权授予相应的操作,并撤销超级。”

在我们的例子中:

撤销超级*。*从secure_test@'localhost';

1	撤销超级在 * . * 从 (电子邮件保护) “localhost”;

这将删除超级特权,但仍将活跃的什么?让我们试着最简单的事情之一,让我们修改的变量super_read_only。

与超我可以改变变量的值没有问题,但如果我删除超级特权,会发生什么?

DC2-2 (secure_test@localhost)[(一)]>显示拨款current_user () \ G * * * * * * * * * * * * * * * * * * * * * * * * * * * 1。行* * * * * * * * * * * * * * * * * * * * * * * * * * *资助secure_test@localhost:格兰特选择、插入、更新、删除、创建、删除、重新加载,关闭,流程,文件,引用,索引,更改显示数据库,创建临时表,锁表,执行复制的奴隶,复制客户,创建视图,显示视图,创建常规,改变程序,创建用户,事件,触发,创建表,创建角色、删除角色*。*“secure_test”@“localhost”与格兰特选择* * * * * * * * * * * * * * * * * * * * * * * * * * * 2。行* * * * * * * * * * * * * * * * * * * * * * * * * * *资助secure_test@localhost:格兰特APPLICATION_PASSWORD_ADMIN AUDIT_ADMIN, BACKUP_ADMIN, BINLOG_ADMIN, BINLOG_ENCRYPTION_ADMIN, CLONE_ADMIN, CONNECTION_ADMIN, ENCRYPTION_KEY_ADMIN, FLUSH_OPTIMIZER_COSTS, FLUSH_STATUS, FLUSH_TABLES, FLUSH_USER_RESOURCES, GROUP_REPLICATION_ADMIN, INNODB_REDO_LOG_ARCHIVE, INNODB_REDO_LOG_ENABLE, PERSIST_RO_VARIABLES_ADMIN, REPLICATION_APPLIER, REPLICATION_SLAVE_ADMIN, RESOURCE_GROUP_ADMIN, RESOURCE_GROUP_USER, ROLE_ADMIN, SERVICE_CONNECTION_ADMIN, SESSION_VARIABLES_ADMIN, SET_USER_ID, SHOW_ROUTINE, SYSTEM_USER SYSTEM_VARIABLES_ADMIN, TABLE_ENCRYPTION_ADMIN, XA_RECOVER_ADMIN *。*“secure_test”@“localhost”与格兰特的选择

DC2- - - - - -2 ((电子邮件保护))((没有一个)]> 显示奖助金为 current_user()\ G

* * * * * * * * * * * * * * * * * * * * * * * * * * *1。行 * * * * * * * * * * * * * * * * * * * * * * * * * * *

奖助金为 (电子邮件保护): 格兰特选择, 插入, 更新, 删除, 创建, 下降, 重新加载, 关闭, 过程, 文件, 引用, 指数, 改变, 显示数据库, 创建临时表, 锁表, 执行, 复制奴隶, 复制客户端, 创建视图, 显示视图, 创建常规, 改变常规, 创建用户, 事件, 触发, 创建表空间, 创建的角色, 下降角色在 * . * 来 “secure_test”@“localhost” 使用GRANT选项

* * * * * * * * * * * * * * * * * * * * * * * * * * *2。行 * * * * * * * * * * * * * * * * * * * * * * * * * * *

正如你所看到的超级消失了。

DC2-2 (secure_test@localhost)[(一)]>设置全球super_read_only = 0;查询好,0行影响(0.00秒)

1 2	DC2- - - - - -2 ((电子邮件保护))((没有一个)]> 集全球 super_read_only=0; 查询好吧,0 行影响(0.00sec)

我仍然可以修改全局变量。为什么?

手册说,SYSTEM_VARIABLES_ADMIN从动态权限允许我们修改”允许在运行时系统变量的变化”。好吧,如果我取消吗?

撤销SYSTEM_VARIABLES_ADMIN *。*从secure_test@ ' localhost ';DC2-2 (secure_test@localhost)[(一)]>设置全球super_read_only = 0;错误1227(42000):拒绝访问;你需要(至少一个)超级或SYSTEM_VARIABLES_ADMIN特权(s)的操作

撤销 SYSTEM_VARIABLES_ADMIN 在 * . * 从 (电子邮件保护) “localhost”;

DC2- - - - - -2 ((电子邮件保护))((没有一个)]> 集全球 super_read_only=0;

错误1227年(42000):访问否认;你需要(在至少一个)的超级或 SYSTEM_VARIABLES_ADMIN特权(年代) 为这操作

太棒了!所以为了真正删除/限制超级,我也需要删除SYSTEM_VARIABLES_ADMIN。但是,所有的吗?

好短,不,它不是。

检查手册可以看到超级影响这些:

BINLOG_ADMIN,
CONNECTION_ADMIN,
ENCRYPTION_KEY_ADMIN,
GROUP_REPLICATION_ADMIN,
REPLICATION_SLAVE_ADMIN,
SESSION_VARIABLES_ADMIN,
SET_USER_ID,
SYSTEM_VARIABLES_ADMIN

这些是默认的。但是我们也可以有其他人根据插件活跃。

所以理论上可以肯定的是我们删除所有相关的超级特权,我们应该:

撤销超级、BINLOG_ADMIN CONNECTION_ADMIN、ENCRYPTION_KEY_ADMIN GROUP_REPLICATION_ADMIN, REPLICATION_SLAVE_ADMIN SESSION_VARIABLES_ADMIN, SET_USER_ID, SYSTEM_VARIABLES_ADMIN *。*从secure_test@ ' localhost ';

1	撤销超级,BINLOG_ADMIN,CONNECTION_ADMIN,ENCRYPTION_KEY_ADMIN,GROUP_REPLICATION_ADMIN,REPLICATION_SLAVE_ADMIN,SESSION_VARIABLES_ADMIN,SET_USER_ID,SYSTEM_VARIABLES_ADMIN 在 * . * 从 (电子邮件保护) “localhost”;

这应该留给我们相当于没有超级用户:

DC2-2 (secure_test@localhost)[(一)]>显示拨款current_user () \ G * * * * * * * * * * * * * * * * * * * * * * * * * * * 1。行* * * * * * * * * * * * * * * * * * * * * * * * * * *资助secure_test@localhost:格兰特选择、插入、更新、删除、创建、删除、重新加载,关闭,流程,文件,引用,索引,更改显示数据库,创建临时表,锁表,执行复制的奴隶,复制客户,创建视图,显示视图,创建常规,改变程序,创建用户,事件,触发,创建表,创建角色、删除角色*。*“secure_test”@“localhost”与格兰特选择* * * * * * * * * * * * * * * * * * * * * * * * * * * 2。行* * * * * * * * * * * * * * * * * * * * * * * * * * *资助secure_test@localhost:格兰特APPLICATION_PASSWORD_ADMIN AUDIT_ADMIN, BACKUP_ADMIN, BINLOG_ENCRYPTION_ADMIN, CLONE_ADMIN, FLUSH_OPTIMIZER_COSTS, FLUSH_STATUS, FLUSH_TABLES, FLUSH_USER_RESOURCES, INNODB_REDO_LOG_ARCHIVE, INNODB_REDO_LOG_ENABLE, PERSIST_RO_VARIABLES_ADMIN, REPLICATION_APPLIER, RESOURCE_GROUP_ADMIN, RESOURCE_GROUP_USER, ROLE_ADMIN, SERVICE_CONNECTION_ADMIN, SHOW_ROUTINE SYSTEM_USER, TABLE_ENCRYPTION_ADMIN, XA_RECOVER_ADMIN *。*“secure_test”@“localhost”与格兰特的选择

DC2- - - - - -2 ((电子邮件保护))((没有一个)]> 显示奖助金为 current_user()\ G

* * * * * * * * * * * * * * * * * * * * * * * * * * *1。行 * * * * * * * * * * * * * * * * * * * * * * * * * * *

* * * * * * * * * * * * * * * * * * * * * * * * * * *2。行 * * * * * * * * * * * * * * * * * * * * * * * * * * *

奖助金为 (电子邮件保护): 格兰特 APPLICATION_PASSWORD_ADMIN、AUDIT_ADMIN BACKUP_ADMIN、BINLOG_ENCRYPTION_ADMIN CLONE_ADMIN, FLUSH_OPTIMIZER_COSTS, FLUSH_STATUS, FLUSH_TABLES, FLUSH_USER_RESOURCES, INNODB_REDO_LOG_ARCHIVE, INNODB_REDO_LOG_ENABLE, PERSIST_RO_VARIABLES_ADMIN, REPLICATION_APPLIER, RESOURCE_GROUP_ADMIN, RESOURCE_GROUP_USER, ROLE_ADMIN, SERVICE_CONNECTION_ADMIN, SHOW_ROUTINE,SYSTEM_USER、TABLE_ENCRYPTION_ADMIN XA_RECOVER_ADMIN 在 * . * 来 “secure_test”@“localhost” 使用GRANT选项

结论

在这第一个博客,我们开始探索动态权限的使用,我们需要做删除超级特权。

然而,上面的列表仍然是有点混乱和不安全。我们还有关机或重新加载或文件时,都是不安全的,应该分配。在本系列的下一篇文章中,我们看到的如何处理动态和静态权限的角色我们也尽量清楚它们是如何影响另一个。

雷竞技下载官网MySQL Percona分布是最完整的,稳定的,可伸缩的,和安全,开源MySQL解决方案,提供企业级的数据库环境最关键业务应用程序…和它的免费使用!

raybetapp2下载

雷竞技下载官网
raybet雷竞技竞猜在线官网监测和
管理

MySQL 5.7
生命的结束

软件
下载

产品
文档

资源中心

金融
服务

雷竞技下载官网Percona博客

雷竞技下载官网Percona社区中心

雷竞技下载官网Percona活动中心

关于Perc雷竞技下载官网ona

雷竞技下载官网Percona新闻

我们的客户

我们的合作伙伴

职业生涯

联系我们

结论

相关的

相关的博客文章

推荐的文章

十对运行MongoDB环境的建议

快20倍备份准备与Percona XtraBackup 8.0.33-雷竞技下载官网28 !

快流备份——引入Percona XtraBackup FIFO平行流雷竞技下载官网

最受欢迎文章

上部署Django Kubernetes PostgreSQL P雷竞技下载官网ercona运营商

自动化Kubernetes MongoDB的物理备份

雷竞技下载官网Percona XtraBackup现在支持我实例配置文件

雷竞技下载官网raybet雷竞技竞猜在线官网监测和管理

MySQL 5.7生命的结束

软件下载

产品文档

资源中心

金融服务

雷竞技下载官网Percona博客

雷竞技下载官网Percona社区中心

雷竞技下载官网Percona活动中心

关于Perc雷竞技下载官网ona

雷竞技下载官网Percona新闻

我们的客户

我们的合作伙伴

职业生涯

联系我们

MySQL静态和动态权限(第1部分)

结论

相关的

分享这篇文章!

想要每周更新清单的最新博客文章?

相关的博客文章

推荐的文章

十对运行MongoDB环境的建议

快20倍备份准备与Percona XtraBackup 8.0.33-雷竞技下载官网28 !

快流备份——引入Percona XtraBackup FIFO平行流雷竞技下载官网

最受欢迎文章

上部署Django Kubernetes PostgreSQL P雷竞技下载官网ercona运营商

自动化Kubernetes MongoDB的物理备份

雷竞技下载官网Percona XtraBackup现在支持我实例配置文件

雷竞技下载官网
raybet雷竞技竞猜在线官网监测和
管理

MySQL 5.7
生命的结束

软件
下载

产品
文档

金融
服务