MySQL在Linux上的权限管理实施指南

一、权限管理前置准备

在Linux系统中管理MySQL权限前，需完成以下基础步骤：

1. 登录MySQL服务器：使用root用户（或其他具有管理员权限的MySQL用户）登录，命令为mysql -u root -p，输入密码后进入命令行界面。
2. 确认用户与权限表：MySQL的用户信息、权限设置均存储在mysql数据库的user表中，可通过SELECT user, host FROM mysql.user; 查看现有用户及允许连接的主机。

二、用户创建与权限初始化

1. 创建用户

使用CREATE USER语句创建用户，需指定用户名、主机限制（决定用户可从哪些主机连接）和密码。常见格式：

• 仅本地连接：CREATE USER 'username'@'localhost' IDENTIFIED BY 'StrongPassword';
• 允许指定IP连接：CREATE USER 'username'@'192.168.1.100' IDENTIFIED BY 'StrongPassword';
• 允许所有IP连接（需谨慎）：CREATE USER 'username'@'%' IDENTIFIED BY 'StrongPassword';

注：localhost表示仅本地连接，%表示允许任意主机连接（需配合防火墙设置，避免未授权访问）。

2. 刷新权限

创建用户后，需执行FLUSH PRIVILEGES; 命令使权限表立即生效（MySQL 5.7.6及以上版本会自动刷新，但显式执行更安全）。

三、权限授予与精细化控制

1. 授予权限

使用GRANT语句为用户分配权限，权限可分为全局权限（作用于所有数据库）、数据库级权限（作用于特定数据库）、表级权限（作用于特定表）甚至列级权限（作用于特定列）。常见示例：

• 授予全局所有权限（慎用，仅适用于管理员）：GRANT ALL PRIVILEGES ON *.* TO 'username'@'localhost';
• 授予数据库级所有权限：GRANT ALL PRIVILEGES ON database_name.* TO 'username'@'localhost';
• 授予表级特定权限（如SELECT、INSERT）：GRANT SELECT, INSERT ON database_name.table_name TO 'username'@'localhost';
• 授予带资源限制的权限（如每小时最多30次查询、6次连接）：GRANT USAGE ON *.* TO 'username'@'localhost' WITH MAX_QUERIES_PER_HOUR 30 MAX_CONNECTIONS_PER_HOUR 6;

注：权限应遵循最小化原则，仅授予用户完成工作所需的最小权限。

2. 查看用户权限

使用SHOW GRANTS语句查看用户的权限详情，格式为SHOW GRANTS FOR 'username'@'host'; 。例如：SHOW GRANTS FOR 'username'@'localhost'; 将显示该用户的所有授权规则。

四、权限撤销与用户管理

1. 撤销权限

使用REVOKE语句撤销用户的特定权限，格式与GRANT相反。例如：

• 撤销数据库级所有权限：REVOKE ALL PRIVILEGES ON database_name.* FROM 'username'@'localhost';
• 撤销表级特定权限：REVOKE SELECT, INSERT ON database_name.table_name FROM 'username'@'localhost';

撤销后需执行FLUSH PRIVILEGES; 使更改生效。

2. 删除用户

使用DROP USER语句彻底删除用户，格式为DROP USER 'username'@'host'; 。例如：DROP USER 'username'@'localhost'; 将删除该用户及其所有权限。

五、密码管理与安全加固

1. 修改用户密码

使用ALTER USER语句修改用户密码，格式为ALTER USER 'username'@'host' IDENTIFIED BY 'NewPassword'; 。例如：ALTER USER 'username'@'localhost' IDENTIFIED BY 'NewStrongPassword';

注：MySQL 5.7.6及以上版本推荐使用此命令，旧版本可使用SET PASSWORD语句（如SET PASSWORD FOR 'username'@'localhost' = PASSWORD('NewPassword'); ）。

2. 安全加固措施

• 限制远程访问：若无需远程连接，将MySQL绑定到127.0.0.1（修改/etc/mysql/my.cnf或/etc/my.cnf中的bind-address = 127.0.0.1），并设置skip-name-resolve禁用DNS解析。
• 配置防火墙：使用ufw或iptables限制MySQL端口（默认3306）的访问，仅允许可信IP连接（如sudo ufw allow from 192.168.1.0/24 to any port 3306）。
• 定期审计：使用mysql_secure_installation工具清理默认账户、移除匿名用户、禁止root远程登录，并定期检查mysql.user表中的异常账户。

六、注意事项

• 权限生效时机：修改权限后必须执行FLUSH PRIVILEGES; （除非使用MySQL 5.7.6及以上版本，其会自动刷新）。
• 权限优先级：若用户有多个权限规则，MySQL会按“最具体优先”原则应用（如username@localhost的权限优先于username@%）。
• 日志监控：开启MySQL日志（如general_log）记录用户操作，便于追溯异常行为（需权衡性能影响）。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！