【MySQL数据库管理问答题】第6章 管理 MySQL 用户
目录
1. 对于验证和授权,它们有什么区别,各自发生在用户访问过程的哪个阶段?
2. MySQL 用户账户的定义信息保存在数据库的什么地方?
3. 在定义用户时,要避免在主机名中使用通配符,除非绝对必要。请给出如何检查用户定义中包含有通配符的办法。
4. 角色是一个不允许连接的帐户,因为它是作为锁定帐户创建的。可以使用 ALTER USER 语句解锁角色,将其转换为允许连接的帐户。请问这个说法对不对,给出验证结果。
5. 请说明 FILE、PROCESS、RELOAD 这三个系统权限的作用?
6. 在授予权限时,WITH GRANT OPTION 或 WITH ADMIN OPTION 子句会对被授予的权限有什么影响?
7. 在权限管理中,不能将口令和对象直接关联,不能对表行进行授权,不能明确拒绝对特定对象比如表的访问。谈一下你对这三个判断的理解。
8. 请说明授权表的内容和它的作用?
9. 你是如何理解“最小权限原则”的?
1. 对于验证和授权,它们有什么区别,各自发生在用户访问过程的哪个阶段?
验证和授权的区别及其在用户访问过程中的阶段:
验证 (Authentication) :是确认用户身份的过程,验证阶段会发生在用户尝试连接数据库时。MySQL 通过验证用户的用户名和密码,确保用户是其声称的身份。
授权 (Authorization) :是在用户通过验证后确定其可以访问的资源和操作的过程。授权阶段发生在用户登录成功后,MySQL 会检查用户的权限,决定用户可以执行哪些 SQL 操作(如 SELECT、 INSERT 等)或访问哪些数据库对象(如表、视图等)。
2. MySQL 用户账户的定义信息保存在数据库的什么地方?
MySQL 用户账户的定义信息保存在 mysql 数据库的 user 表中。
3. 在定义用户时,要避免在主机名中使用通配符,除非绝对必要。请给出如何检查用户定义中包含有通配符的办法。
检查用户定义中包含有通配符的办法:
使用以下 SQL 查询检查 MySQL 用户定义中是否包含通配符:
SELECT user, host FROM mysql.user WHERE host LIKE '%';
该查询会返回主机名中包含通配符的所有用户。
4. 角色是一个不允许连接的帐户,因为它是作为锁定帐户创建的。可以使用 ALTER USER 语句解锁角色,将其转换为允许连接的帐户。请问这个说法对不对,给出验证结果。
关于角色是否可以通过解锁来转换为允许连接的账户的验证:
说法错误;
角色在 MySQL 中是一个不能直接连接的实体。即使使用 ALTER USER 语句解锁角色,角色依然不能作为普通用户连接。
角色设计的目的是为了权限管理,而不是作为一个连接账户。验证可以通过如下命令查看:
ALTER USER 'role_name'@'host' ACCOUNT UNLOCK;
这不会将角色转换为允许连接的帐户。
5. 请说明 FILE、PROCESS、RELOAD 这三个系统权限的作用?
FILE、PROCESS、RELOAD 三个系统权限的作用:
FILE :允许用户执行文件相关的操作,如导入数据到表中( LOAD DATA INFILE )或从表导出数据到文件(SELECT INTO OUTFILE )。
PROCESS :允许用户查看所有线程的状态信息,而不仅仅是自己的(通过 SHOW PROCESSLIST 命令)。
RELOAD :允许用户执行刷新操作,如刷新日志、重新加载权限表、刷新表缓存等(通过 FLUSH 命令)。
6. 在授予权限时,WITH GRANT OPTION 或 WITH ADMIN OPTION 子句会对被授予的权限有什么影响?
WITH GRANT OPTION 或 WITH ADMIN OPTION 子句对被授予权限的影响:
① WITH GRANT OPTION :允许被授予的用户将其拥有的权限进一步授予其他用户。这增加了权限管理的复杂性,因为授予权限的链条会延长。
② WITH ADMIN OPTION :在 MySQL 8.0 中用于角色管理,允许被授予的用户将角色授予其他用户。这也增加了权限链的复杂性。
7. 在权限管理中,不能将口令和对象直接关联,不能对表行进行授权,不能明确拒绝对特定对象比如表的访问。谈一下你对这三个判断的理解。
对以下权限管理判断的理解:
① 不能将口令和对象直接关联: MySQL 的权限系统基于用户和主机,而非口令和对象。
② 不能对表行进行授权: MySQL 的权限系统只能在表、列、视图等级别进行授权,而不能对单行数据进行授权。
③ 不能明确拒绝对特定对象的访问: MySQL 权限系统采用“白名单”模式,只能通过授予权限来控制访问,而没有明确的“拒绝”规则来阻止对特定对象的访问。
8. 请说明授权表的内容和它的作用?
授权表的内容及其作用:
① 授权表:授权表位于 mysql 数据库中,主要包括 user 、 db 、 tables_priv 、 columns_priv 等表。这些表存储着关于用户权限的详细信息。
② 作用:授权表控制着 MySQL 数据库中的用户权限,决定用户可以访问哪些资源、执行哪些操作。权限系统通过这些表来检查用户的操作权限。
9. 你是如何理解“最小权限原则”的?
对“最小权限原则”的理解:
最小权限原则( Principle of Least Privilege, POLP )是安全管理中的一个重要概念,指的是用户或进程应仅被授予完成任务所需的最小权限。
对于数据库管理,最小权限原则意味着为用户分配的权限应尽可能少,以减少安全风险。避免赋予过多权限可以降低因恶意操作或错误配置引发的安全问题。