MySQL 5.0. Библиотека программиста
Шрифт:
Далее мы рассмотрим следующий важный аспект эксплуатации базы данных MySQL – профилактические действия, направленные на обеспечение безопасности и бесперебойного функционирования сервера.
Глава 5 Администрирование и безопасность
В предыдущих главах вы изучали функциональные возможности СУБД MySQL – те возможности работы с данными, которые необходимы для решения ваших бизнес-задач. В этой главе мы рассмотрим вспомогательные, но не менее важные процессы: управление доступом пользователей к базе данных и предотвращение потерь данных в случае сбоев. Мы расскажем, как выполнять операции администрирования с помощью специальных SQL-команд,
В первую очередь речь пойдет о разграничении доступа пользователей MySQL. Контроль действий пользователей включает два этапа:
• когда пользователь пытается подключиться к серверу баз данных, программа MySQL проверяет, разрешено ли ему подключение, то есть проверяет его учетную запись;
• когда пользователь пытается выполнить какую-либо операцию, программа MySQL проверяет, имеет ли пользователь привилегию, разрешающую эту операцию.
Следующий раздел посвящается операциям с учетными записями пользователей MySQL. Систему привилегий доступа мы рассмотрим в разделе 5.2 «Система привилегий доступа».
5.1. Учетные записи пользователей
В этом разделе мы рассмотрим настройку учетных записей. Вы узнаете, как зарегистрировать или удалить пользователя MySQL, как изменить его пароль и как получить информацию о зарегистрированных пользователях.
Общие сведения об учетных записях
Под учетной записью пользователя MySQL подразумевается строка в таблице user (Пользователь) системной базы данных mysql. Первичным ключом в этой таблице служат столбцы Host и User. Таким образом, в MySQL идентификация пользователя основана не только на имени пользователя, но и на комбинации имени пользователя и хоста, с которого подключается пользователь. Это означает, что вы не просто можете ограничить круг хостов, с которых разрешено подключаться данному пользователю; вы можете, например, создать разные учетные записи (а следовательно, назначить разные привилегии доступа) для пользователя anna, подключающегося с компьютера localhost, и для пользователя anna, подключающегося с компьютера somedomain.com.
Столбец User допускает значения длиной не более 16 символов. Значение этого столбца может быть пустым, что соответствует анонимному пользователю, но в этой книге мы не будем рассматривать такую возможность.
Столбец Host допускает следующие значения:
• конкретное имя компьютера или IP-адрес;
• маска подсети (например, 192.168.1.0/255.255.255.0);
• маска имени компьютера или маска IP-адреса, которая может содержать подстановочные символы:
% – на месте знака процента может быть любое количество произвольных символов;
_ – на месте знака подчеркивания может быть ровно один произвольный символ.
Примечание
Если маска начинается с цифры или точки, то она рассматривается как маска IP-адреса. Поэтому значение «122.somedomain.com» не соответствует маске «122.%».
В командах, управляющих учетными записями пользователей MySQL, используется идентификатор пользователя – значение первичного ключа учетной записи в формате
\'<Значение столбца User>\'[@\'<Значение столбца Host>\']
Например, \'anna\'@\'localhost\'. Если значение столбца Host не указано, подразумевается маска %, так что идентификаторы \'anna\' и \'anna\'@ % эквивалентны.
При подключении пользователя к серверу MySQL происходит идентификация
Примечание
Имена пользователей и пароли чувствительны к регистру символов, а имена хостов – не чувствительны.
Теперь, изучив особенности идентификации и аутентификации пользователей MySQL, вы можете переходить к регистрации новых пользователей.
Регистрация пользователя
Чтобы создать учетную запись пользователя, выполните команду
CREATE USER <Идентификатор пользователя> [IDENTIFIED BY [PASSWORD] \'<Пароль>\'];
Обязательным параметром этой команды является идентификатор нового пользователя. Если не задан параметр IDENTIFIED BY, то будет использоваться пустой пароль. Параметр PASSWORD необходимо указать в том случае, если вы вводите не реальный, а зашифрованный пароль (что позволяет избежать передачи незашифрованного пароля при отправке на сервер команды CREATE USER). Получить зашифрованное значение из реального пароля вы можете с помощью функции
PASSWORD(\'<Реальный пароль>\')
Например, команда
CREATE USER \'anna\' IDENTIFIED BY \'annapassword\
создает учетную запись для пользователя с именем anna, подключающегося с любого компьютера, и устанавливает для этой учетной записи пароль annapassword. Команда
CREATE USER \'anna\'@\'localhost\' IDENTIFIED BY PASSWORD \'*3C7F72EAE78BC95AAFBFD21F8741C24A0056C04B\
создает учетную запись для пользователя anna, подключающегося с локального компьютера, и устанавливает в качестве пароля значение annalocpassword (поскольку функция PASSWORD(\'annalocpassword\') возвращает значение *3C7F72EAE78BC95AAFBFD21F8741C24A0056C04B).
Сразу после выполнения команды CREATE USER новый пользователь может подключаться к серверу MySQL.
В следующем подразделе мы обсудим, как изменить пароль пользователя, а также как восстановить забытый пароль пользователя root.
Установка пароля
Для установки пароля предназначена командаSET PASSWORD [FOR <Идентификатор пользователя>] = PASSWORD(\'<Пароль>\');
Параметрами этой команды являются идентификатор учетной записи пользователя и новый пароль для этой записи. Если вы не укажете идентификатор пользователя, то измените свой пароль. Вместо функции PASSWORD, зашифровывающей реальный пароль, можно сразу ввести зашифрованный пароль. Например, команды
SET PASSWORD FOR \'anna\'@\'%\' = PASSWORD(\'newannapassword\');