Linux下禁止MySQL服務(wù)以管理員權(quán)限的賬號運行命令

安全運行mysql服務(wù)。MySql應(yīng)該使用非管理員賬號運行，以普通賬戶安全運行mysqld采用加固方法，Linux下禁止MySQL服務(wù)以管理員權(quán)限的賬號運行命令，安全運行mysql服務(wù)，從而保證系統(tǒng)程序的正常運行。

創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于成都做網(wǎng)站、成都網(wǎng)站設(shè)計、京山網(wǎng)絡(luò)推廣、小程序定制開發(fā)、京山網(wǎng)絡(luò)營銷、京山企業(yè)策劃、京山品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們最大的嘉獎；創(chuàng)新互聯(lián)公司為所有大學(xué)生創(chuàng)業(yè)者提供京山建站搭建服務(wù)，24小時服務(wù)熱線：028-86922220，官方網(wǎng)址：www.cdcxhl.com

mysql中怎樣設(shè)置用戶和管理員的權(quán)限?

MySQL管理員應(yīng)該知道如何設(shè)置MySQL用戶賬號，指出哪個用戶可以連接服務(wù)器，從哪里連接，連接后能做什么。MySQL 3.22.11開始引入兩條語句使得這項工作更容易做：GRANT語句創(chuàng)建MySQL用戶并指定其權(quán)限，而REVOKE語句刪除權(quán)限。兩條語句扮演了MySQL數(shù)據(jù)庫的前端角色，并提供與直接操作這些表的內(nèi)容不同的另一種方法。CREATE和REVOKE語句影響4個表： 中.國站長站

還有第5個授權(quán)表（host），但它不受GRANT和REVOKE的影響。 中.國.站長站

當(dāng)你對一個用戶發(fā)出一條GRANT語句時，在user表中為該用戶創(chuàng)建一條記錄。如果語句指定任何全局權(quán)限（管理權(quán)限或適用于所有數(shù)據(jù)庫的權(quán)限），這些也記錄在user表中。如果你指定數(shù)據(jù)庫、表和列級權(quán)限，他們被分別記錄在db、tables_priv和columns_priv表中。

站.長站

用GRANT和REVOKE比直接修改授權(quán)表更容易些，然而，建議你閱讀一下《MySQL安全性指南》。這些表異常重要，而且作為一名管理員，你應(yīng)該理解它們?nèi)绾纬紾RANT和REVOKE語句的功能水平。

站.長站

在下面的章節(jié)中，我們將介紹如何設(shè)置MySQL用戶賬號并授權(quán)。我們也涉及如何撤權(quán)和從授權(quán)表中刪除用戶。 Chinaz

你可能也想考慮使用MySQLACCESS和mysql_setpermission腳本，它是MySQL分發(fā)的一部分，它們是Perl腳本，提供GRANT語句的另一種選擇設(shè)置用戶賬號。MySQL_setpermission需要安裝DBI支持。

Chinaz.com

1、創(chuàng)建用戶并授權(quán) Chinaz.com

GRANT語句的語法看上去像這樣：

以下為引用的內(nèi)容：

GRANT privileges (columns)

ON what

TO user IDENTIFIED BY "password"

WITH GRANT OPTION

要使用該語句，你需要填寫下列部分：

中國.站.長站

privileges 站長.站

授予用戶的權(quán)限，下表列出可用于GRANT語句的權(quán)限指定符：

中國站.長.站

上表顯示在第一組的權(quán)限指定符適用于數(shù)據(jù)庫、表和列，第二組數(shù)管理權(quán)限。一般，這些被相對嚴(yán)格地授權(quán)，因為它們允許用戶影響服務(wù)器的操作。第三組權(quán)限特殊，ALL意味著“所有權(quán)限”，UASGE意味著無權(quán)限，即創(chuàng)建用戶，但不授予權(quán)限。 Www^Chinaz^com

columns

中國.站長站

權(quán)限運用的列，它是可選的，并且你只能設(shè)置列特定的權(quán)限。如果命令有多于一個列，應(yīng)該用逗號分開它們。

中國站長.站

what

站長.站

權(quán)限運用的級別。權(quán)限可以是全局的（適用于所有數(shù)據(jù)庫和所有表）、特定數(shù)據(jù)庫（適用于一個數(shù)據(jù)庫中的所有表）或特定表的。可以通過指定一個columns字句是權(quán)限是列特定的。 Www@Chinaz@com

user 中國站長_站,為中文網(wǎng)站提供動力

權(quán)限授予的用戶，它由一個用戶名和主機(jī)名組成。在MySQL中，你不僅指定誰能連接，還有從哪里連接。這允許你讓兩個同名用戶從不同地方連接。MySQL讓你區(qū)分他們，并彼此獨立地賦予權(quán)限。

中國.站長站

MySQL中的一個用戶名就是你連接服務(wù)器時指定的用戶名，該名字不必與你的Unix登錄名或Windows名聯(lián)系起來。缺省地，如果你不明確指定一個名字，客戶程序?qū)⑹褂媚愕牡卿浢鳛镸ySQL用戶名。這只是一個約定。你可以在授權(quán)表中將該名字改為nobody，然后以nobody連接執(zhí)行需要超級用戶權(quán)限的操作。

[中國站長站]

password Www_Chinaz_com

賦予用戶的口令，它是可選的。如果你對新用戶沒有指定IDENTIFIED BY子句，該用戶不賦給口令（不安全）。對現(xiàn)有用戶，任何你指定的口令將代替老口令。如果你不指定口令，老口令保持不變，當(dāng)你用IDENTIFIED BY時，口令字符串用改用口令的字面含義，GRANT將為你編碼口令，不要象你用SET PASSWORD 那樣使用password()函數(shù)。 中國站長_站,為中文網(wǎng)站提供動力

WITH GRANT OPTION子句是可選的。如果你包含它，用戶可以授予權(quán)限通過GRANT語句授權(quán)給其它用戶。你可以用該子句給與其它用戶授權(quán)的能力。 [中國站長站]

用戶名、口令、數(shù)據(jù)庫和表名在授權(quán)表記錄中是大小寫敏感的，主機(jī)名和列名不是。 Www~Chinaz~com

一般地，你可以通過詢問幾個簡單的問題來識別GRANT語句的種類：

中國.站長站

誰能連接，從那兒連接？

Chinaz.com

用戶應(yīng)該有什么級別的權(quán)限，他們適用于什么？

中國站長_站,為中文網(wǎng)站提供動力

用戶應(yīng)該允許管理權(quán)限嗎？ 中國站長.站

下面就討論一些例子。 站.長站

1.1 誰能連接，從那兒連接？

Chinaz@com

你可以允許一個用戶從特定的或一系列主機(jī)連接。有一個極端，如果你知道降職從一個主機(jī)連接，你可以將權(quán)限局限于單個主機(jī)：

GRANT ALL ON samp_db.* TO boris@localhost IDENTIFIED BY "ruby"

中國站.長.站

GRANT ALL ON samp_db.* TO fred@res.mars.com IDENTIFIED BY "quartz" 中國站長.站

(samp_db.*意思是“samp_db數(shù)據(jù)庫的所有表)另一個極端是，你可能有一個經(jīng)常旅行并需要能從世界各地的主機(jī)連接的用戶max。在這種情況下，你可以允許他無論從哪里連接：

中國站長.站

GRANT ALL ON samp_db.* TO max@% IDENTIFIED BY "diamond" 站.長站

“%”字符起通配符作用，與LIKE模式匹配的含義相同。在上述語句中，它意味著“任何主機(jī)”。所以max和max@%等價。這是建立用戶最簡單的方法，但也是最不安全的。 Www@Chinaz@com

取其中，你可以允許一個用戶從一個受限的主機(jī)集合訪問。例如，要允許mary從snake.net域的任何主機(jī)連接，用一個%.snake.net主機(jī)指定符：

[中國站長站]

GRANT ALL ON samp_db.* TO mary@.snake.net IDENTIFIED BY "quartz";

中國站長_站,為中文網(wǎng)站提供動力

如果你喜歡，用戶標(biāo)識符的主機(jī)部分可以用IP地址而不是一個主機(jī)名來給定。你可以指定一個IP地址或一個包含模式字符的地址，而且，從MySQL 3.23，你還可以指定具有指出用于網(wǎng)絡(luò)號的位數(shù)的網(wǎng)絡(luò)掩碼的IP號： Chinaz~com

GRANT ALL ON samp_db.* TO boris@192.168.128.3 IDENTIFIED BY "ruby"

中國站長.站

GRANT ALL ON samp_db.* TO fred@192.168.128.% IDENTIFIED BY "quartz" Chinaz@com

GRANT ALL ON samp_db.* TO rex@192.168.128.0/17 IDENTIFIED BY "ruby" [中國站長站]

第一個例子指出用戶能從其連接的特定主機(jī)，第二個指定對于C類子網(wǎng)192.168.128的IP模式，而第三條語句中，192.168.128.0/17指定一個17位網(wǎng)絡(luò)號并匹配具有192.168.128頭17位的IP地址。 中國.站.長站

如果MySQL抱怨你指定的用戶值，你可能需要使用引號（只將用戶名和主機(jī)名部分分開加引號）。 Chinaz^com

GRANT ALL ON samp_db.president TO "my friend"@"boa.snake.net"

1.2 用戶應(yīng)該有什么級別的權(quán)限和它們應(yīng)該適用于什么？ 站.長站

你可以授權(quán)不同級別的權(quán)限，全局權(quán)限是最強大的，因為它們適用于任何數(shù)據(jù)庫。要使ethel成為可做任何事情的超級用戶，包括能授權(quán)給其它用戶，發(fā)出下列語句： 中.國.站長站

GRANT ALL ON *.* TO ethel@localhost IDENTIFIED BY "coffee" WITH GRANT OPTION Chinaz~com

ON子句中的*.*意味著“所有數(shù)據(jù)庫、所有表”。從安全考慮，我們指定ethel只能從本地連接。限制一個超級用戶可以連接的主機(jī)通常是明智的，因為它限制了試圖破解口令的主機(jī)。

Www~Chinaz~com

有些權(quán)限（FILE、PROCESS、RELOAD和SHUTDOWN）是管理權(quán)限并且只能用"ON *.*"全局權(quán)限指定符授權(quán)。如果你愿意，你可以授權(quán)這些權(quán)限，而不授權(quán)數(shù)據(jù)庫權(quán)限。例如，下列語句設(shè)置一個flush用戶，他只能發(fā)出flush語句。這可能在你需要執(zhí)行諸如清空日志等的管理腳本中會有用： 站.長站

GRANT RELOAD ON *.* TO flushl@localhost IDENTIFIED BY "flushpass" 中國站.長.站

一般地，你想授權(quán)管理權(quán)限，吝嗇點，因為擁有它們的用戶可以影響你的服務(wù)器的操作。 Www~Chinaz~com

數(shù)據(jù)庫級權(quán)限適用于一個特定數(shù)據(jù)庫中的所有表，它們可通過使用ON db_name.*子句授予： Chinaz^com

GRANT ALL ON samp_db TO bill@racer.snake.net INDETIFIED BY "rock" Chinaz@com

GRANT SELECT ON samp_db TO ro_user@% INDETIFIED BY "rock"

中國.站.長站

第一條語句向bill授權(quán)samp_db數(shù)據(jù)庫中所有表的權(quán)限，第二條創(chuàng)建一個嚴(yán)格限制訪問的用戶ro_user（只讀用戶），只能訪問samp_db數(shù)據(jù)庫中的所有表，但只有讀取，即用戶只能發(fā)出SELECT語句。

你可以列出一系列同時授予的各個權(quán)限。例如，如果你想讓用戶能讀取并能修改現(xiàn)有數(shù)據(jù)庫的內(nèi)容，但不能創(chuàng)建新表或刪除表，如下授予這些權(quán)限： Www@Chinaz@com

GRANT SELECT,INSERT,DELETE,UPDATE ON samp_db TO bill@snake.net INDETIFIED BY "rock"

中國.站.長站

對于更精致的訪問控制，你可以在各個表上授權(quán)，或甚至在表的每個列上。當(dāng)你想向用戶隱藏一個表的部分時，或你想讓一個用戶只能修改特定的列時，列特定權(quán)限非常有用。如：

GRANT SELECT ON samp_db.member TO bill@localhost INDETIFIED BY "rock"

中.國.站.長.站

GRANT UPDATE (expiration) ON samp_db. member TO bill@localhost 中國站長_站,為中文網(wǎng)站提供動力

第一條語句授予對整個member表的讀權(quán)限并設(shè)置了一個口令，第二條語句增加了UPDATE權(quán)限，當(dāng)只對expiration列。沒必要再指定口令，因為第一條語句已經(jīng)指定了。

Www^Chinaz^com

如果你想對多個列授予權(quán)限，指定一個用逗號分開的列表。例如，對assistant用戶增加member表的地址字段的UPDATE權(quán)限，使用如下語句，新權(quán)限將加到用戶已有的權(quán)限中：

[中國站長站]

GRANT UPDATE (street,city,state,zip) ON samp_db TO assistant@localhost

中國.站.長站

通常，你不想授予任何比用戶確實需要的權(quán)限寬的權(quán)限。然而，當(dāng)你想讓用戶能創(chuàng)建一個臨時表以保存中間結(jié)果，但你又不想讓他們在一個包含他們不應(yīng)修改內(nèi)容的數(shù)據(jù)庫中這樣做時，發(fā)生了要授予在一個數(shù)據(jù)庫上的相對寬松的權(quán)限。你可以通過建立一個分開的數(shù)據(jù)庫（如tmp）并授予開數(shù)據(jù)庫上的所有權(quán)限來進(jìn)行。例如，如果你想讓來自mars.net域中主機(jī)的任何用戶使用tmp數(shù)據(jù)庫，你可以發(fā)出這樣的GRANT語句：

中.國站長站

GRANT ALL ON tmp.* TO ""@mars.net

Chinaz^com

在你做完之后，用戶可以創(chuàng)建并用tmp.tbl_name形式引用tmp中的表（在用戶指定符中的""創(chuàng)建一個匿名用戶，任何用戶均匹配空白用戶名）。 中.國站長站

1.3 用戶應(yīng)該被允許管理權(quán)限嗎？

中.國.站.長.站

你可以允許一個數(shù)據(jù)庫的擁有者通過授予數(shù)據(jù)庫上的所有擁有者權(quán)限來控制數(shù)據(jù)庫的訪問，在授權(quán)時，指定WITH GRANT OPTION。例如：如果你想讓alicia能從big.corp.com域的任何主機(jī)連接并具有sales數(shù)據(jù)庫中所有表的管理員權(quán)限，你可以用如下GRANT語句：

[中國站長站]

GRANT ALL ON sales.* TO alicia@%.big.corp.com INDETIFIED BY "applejuice" WITH GRANT OPTION 中國站.長.站

在效果上WITH GRANT OPTION子句允許你把訪問授權(quán)的權(quán)利授予另一個用戶。要注意，擁有GRANT權(quán)限的兩個用戶可以彼此授權(quán)。如果你只給予了第一個用戶SELECT權(quán)限，而另一個用戶有GRANT加上SELECT權(quán)限，那么第二個用戶可以是第一個用戶更“強大”。 中國站長_站,為中文網(wǎng)站提供動力

2 撤權(quán)并刪除用戶

Chinaz_com

要取消一個用戶的權(quán)限，使用REVOKE語句。REVOKE的語法非常類似于GRANT語句，除了TO用FROM取代并且沒有INDETIFED BY和WITH GRANT OPTION子句： 中國站.長站

REVOKE privileges (columns) ON what FROM user 中國.站.長站

user部分必須匹配原來GRANT語句的你想撤權(quán)的用戶的user部分。privileges部分不需匹配，你可以用GRANT語句授權(quán)，然后用REVOKE語句只撤銷部分權(quán)限。

中.國站長站

REVOKE語句只刪除權(quán)限，而不刪除用戶。即使你撤銷了所有權(quán)限，在user表中的用戶記錄依然保留，這意味著用戶仍然可以連接服務(wù)器。要完全刪除一個用戶，你必須用一條DELETE語句明確從user表中刪除用戶記錄：

中國站.長.站

%mysql -u root MySQL

MySQLDELETE FROM user

-WHERE User="user_name" and Host="host_name";

MySQLFLUSH PRIVILEGES; 中.國站長站

DELETE語句刪除用戶記錄，而FLUSH語句告訴服務(wù)器重載授權(quán)表。（當(dāng)你使用GRANT和REVOKE語句時，表自動重載，而你直接修改授權(quán)表時不是。 [中國站長站]

windows10如何使用非管理員用戶啟停mysql服務(wù)

需要給非管理員用戶授權(quán)，，，，，說白了，就是給權(quán)限，，，只針對數(shù)據(jù)庫授權(quán)，，，，，，，個人意見僅供參考

如何修改MySQL的配置，允許網(wǎng)絡(luò)上的其他計算機(jī)利用root賬號進(jìn)行登錄和管理MySQL數(shù)據(jù)庫。

用root進(jìn)入mysql命令行輸入：

use mysql;

update user set Host='%' where User='root';

即可。同時別忘記將你的防火墻的3306端口打開，如果你用的是3306的話。或者把mysql目錄下的bin下的mysqld放到例外程序里。

powerdesigner連接mysql5.0,提示警告使用非管理權(quán)限登錄,無法創(chuàng)建或修改System DNS該怎么獲取管理員權(quán)限?

請截圖交流。不是DNS吧，應(yīng)該是DSN吧？

①你右鍵點擊程序→點選以管理員身份運行。

②在管理員命令提示符窗口輸入要運行的程序。

③使用管理員賬戶（如果不是管理員賬戶的話）。

④右鍵點擊需要打開的程序→屬性→安全→將自己的賬戶涵蓋進(jìn)去。

或者將系統(tǒng)盤授權(quán)。

⑤注冊表問題→看教程（那里圖文并茂）。

參考資料：《如何處理ODBC System DSN警告》

mysql 權(quán)限設(shè)置

背景

在了解動態(tài)權(quán)限之前，我們先回顧下 MySQL 的權(quán)限列表。

權(quán)限列表大體分為服務(wù)級別和表級別，列級別以及大而廣的角色（也是MySQL 8.0 新增）存儲程序等權(quán)限。我們看到有一個特殊的 SUPER 權(quán)限，可以做好多個操作。比如 SET 變量，在從機(jī)重新指定相關(guān)主機(jī)信息以及清理二進(jìn)制日志等。那這里可以看到，SUPER 有點太過強大，導(dǎo)致了僅僅想實現(xiàn)子權(quán)限變得十分困難，比如用戶只能 SET 變量，其他的都不想要。那么 MySQL 8.0 之前沒法實現(xiàn)，權(quán)限的細(xì)分不夠明確，容易讓非法用戶鉆空子。

那么 MySQL 8.0 把權(quán)限細(xì)分為靜態(tài)權(quán)限和動態(tài)權(quán)限，下面我畫了兩張詳細(xì)的區(qū)分圖，圖 1 為靜態(tài)權(quán)限，圖 2 為動態(tài)權(quán)限。

圖 1- MySQL 靜態(tài)權(quán)限的權(quán)限管理圖

圖 2-動態(tài)權(quán)限圖

那我們看到其實動態(tài)權(quán)限就是對 SUPER 權(quán)限的細(xì)分。 SUPER 權(quán)限在未來將會被廢棄掉。

我們來看個簡單的例子，

比如， 用戶 'ytt2@localhost', 有 SUPER 權(quán)限。

mysql show grants for ytt2@'localhost';+---------------------------------------------------------------------------------+| Grants for ytt2@localhost ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? |+---------------------------------------------------------------------------------+| GRANT INSERT, UPDATE, DELETE, CREATE, ALTER, SUPER ON *.* TO ytt2@localhost |+---------------------------------------------------------------------------------+1 row in set (0.00 sec)

但是現(xiàn)在我只想這個用戶有 SUPER 的子集，設(shè)置變量的權(quán)限。那么單獨給這個用戶賦予兩個能設(shè)置系統(tǒng)變量的動態(tài)權(quán)限，完了把 SUPER 給拿掉。

mysql grant session_variables_admin,system_variables_admin on *.* to ytt2@'localhost';Query OK, 0 rows affected (0.03 sec)mysql revoke super on *.* from ytt2@'localhost';Query OK, 0 rows affected, 1 warning (0.02 sec)

我們看到這個 WARNINGS 提示 SUPER 已經(jīng)廢棄了。

mysql show warnings;

+---------+------+----------------------------------------------+

| Level ? | Code | Message ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?|

+---------+------+----------------------------------------------+

| Warning | 1287 | The SUPER privilege identifier is deprecated |

+---------+------+----------------------------------------------+

1 row in set (0.00 sec)`

mysql show grants for ytt2@'localhost';

+-----------------------------------------------------------------------------------+

| Grants for ytt2@localhost ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? |

+-----------------------------------------------------------------------------------+

| GRANT INSERT, UPDATE, DELETE, CREATE, ALTER ON *.* TO ytt2@localhost ? ? ? ? ?|

| GRANT SESSION_VARIABLES_ADMIN,SYSTEM_VARIABLES_ADMIN ON *.* TO ytt2@localhost |

+-----------------------------------------------------------------------------------+

2 rows in set (0.00 sec)

當(dāng)然圖 2 上還有其它的動態(tài)權(quán)限，這里就不做特別說明了。