详细解读MySQL中的权限

一、前言

   很多文章中会说，数据库的权限按最小权限为原则，这句话本身没有错，但是却是一句空话。因为最小权限，这个东西太抽象，很多时候你并弄不清楚具体他需要哪些权限。 现在很多mysql用着root账户在操作，并不是大家不知道用root权限太大不安全，而是很多人并不知道该给予什么样的权限既安全又能保证正常运行。所以，本文更多的是考虑这种情况下，我们该如何简单的配置一个安全的mysql。注：本文测试环境为mysql-5.6.4
二、Mysql权限介绍

   mysql中存在4个控制权限的表，分别为user表，db表，tables_priv表，columns_priv表。

   mysql权限表的验证过程为：

1.先从user表中的Host,User,Password这3个字段中判断连接的ip、用户名、密码是否存在，存在则通过验证。

2.通过身份认证后，进行权限分配，按照user，db，tables_priv，columns_priv的顺序进行验证。即先检查全局权限表user，如果user中对应的权限为Y，则此用户对所有数据库的权限都为Y，将不再检查db, tables_priv,columns_priv；如果为N，则到db表中检查此用户对应的具体数据库，并得到db中为Y的权限；如果db中为N，则检查tables_priv中此数据库对应的具体表，取得表中的权限Y，以此类推。

三、mysql有哪些权限

四、数据库层面(db表)的权限分析

五、mysql安全配置方案

   1 限制访问mysql端口的ip

   windows可以通过windows防火墙或者ipsec来限制，linux下可以通过iptables来限制。

   2 修改mysql的端口

   windows下可以修改配置文件my.ini来实现，linux可以修改配置文件my.cnf来实现。

   3 对所有用户设置强密码并严格指定对应账号的访问ip

   mysql中可在user表中指定用户的访问可访问ip

   4 root特权账号的处理

   建议给root账号设置强密码，并指定只容许本地登录

   5 日志的处理

   如需要可开启查询日志，查询日志会记录登录和查询语句。

   6 mysql进程运行账号

   在windows下禁止使用local system来运行mysql账户，可以考虑使用network service或者自己新建一个账号，但是必须给与mysql程序所在目录的读取权限和data目录的读取和写入权限； 在linux下，新建一个mysql账号，并在安装的时候就指定mysql以mysql账户来运行，给与程序所在目录的读取权限，data所在目录的读取和写入权限。