13. mysql 学习笔记 - mysql安全性管理

在 MySQL 的实际操作中，安全性管理 是保障数据库及其数据安全的核心部分。对于一个数据库（比如 kylin_admin），你需要使用 MySQL 提供的用户与权限管理 、数据加密 、和审计日志 功能来确保数据库的安全性，防止非法访问和潜在的数据泄露。下面我将结合 kylin_admin 数据库，介绍如何操作并解释每个步骤的作用和实际场景。

1. 用户和权限管理

1.1 创建用户

在数据库中创建用户时，你可以为每个用户指定唯一的权限，控制他们可以执行哪些操作。对于 kylin_admin 数据库，你可能希望创建不同权限的用户，例如管理者、开发者或只读用户。

-- 创建一个用户名为 'admin_user' 的用户，且该用户只能从本地主机访问
CREATE USER 'admin_user'@'localhost' IDENTIFIED BY 'securePassword123';

• admin_user 是用户名。

• 'localhost' 限制该用户只能从本地主机连接数据库，避免其他主机直接访问。

• IDENTIFIED BY 'securePassword123' 设置用户密码。

例如，我们可以创建一个 kim 用户：

CREATE USER 'kim'@'localhost' IDENTIFIED BY '123456';

这条 SQL 语句的意义和作用如下：

• 'kim' ：这是你要创建的数据库用户名。这个用户名将在 localhost（即本地主机）上使用。

• 'localhost' ：限定了 kim 这个用户只能从本地主机连接到 MySQL 数据库服务器。你可以将其替换为 '%' 来允许任何地方的连接。

• IDENTIFIED BY '123456' ：这是为 kim 用户设置的密码。登录时，用户 kim 需要提供正确的密码（123456）才能访问数据库。

你可以使用刚刚创建的 kim 账号登录：

mysql -u kim -p

然后输入密码：123456

如果成功登录，系统会提示你进入 MySQL 命令行界面。

1.2 授权与撤销授权 / 删除用户

授权允许你为用户指定特定的权限（如读取、写入、修改、删除等），确保他们只能执行允许的操作。

授权操作

在 MySQL 中，你可以使用 GRANT 命令来授予特定权限。你可以根据需要选择以下权限：

• SELECT：读取数据（查询）。

• INSERT：写入数据（插入）。

• UPDATE：修改数据（更新）。

• DELETE：删除数据。

• ALL PRIVILEGES：授予所有权限（包括读取、写入、修改、删除等）。

例如，授权 kim 用户对 kylin_admin 数据库的所有操作权限：

-- 授予 'kim' 用户对 kylin_admin 数据库的所有操作权限
GRANT ALL PRIVILEGES ON kylin_admin.* TO 'kim'@'localhost';

需要注意的是，只有以管理员身份登录（如 root 用户）才能创建或者授权账号的权限：

mysql -u root -p

输入密码，登录成功之后，然后在 MySQL 命令行中执行以下语句来授予 kim 用户对 kylin_admin 数据库的所有权限：

GRANT ALL PRIVILEGES ON kylin_admin.* TO 'kim'@'localhost';

• ALL PRIVILEGES：授予 kim 用户对 kylin_admin 数据库的所有权限。

• ON kylin_admin.*：指定对 kylin_admin 数据库中的所有表授予权限。

• 'kim'@'localhost'：指定权限授予 kim 用户，且仅限于从 localhost 连接。

如果只想给 kim 用户指定部分权限，可以使用：

GRANT SELECT, INSERT, UPDATE, DELETE ON kylin_admin.* TO 'kim'@'localhost';

SELECT, INSERT, UPDATE, DELETE：授予 kim 用户读取、写入、修改和删除的权限。

刷新权限：

执行完 GRANT 命令后，需要运行 FLUSH PRIVILEGES 来使权限生效：

FLUSH PRIVILEGES;

检查 kim 用户权限

你可以查看 kim 用户的权限，确认授予是否成功：

SHOW GRANTS FOR 'kim'@'localhost';

这会显示 kim 用户所拥有的所有权限。

撤销权限

如果需要撤销某个用户的权限，可以使用 REVOKE 命令。比如撤销 kim 用户的 INSERT 权限：

-- 撤销 'kim' 用户对 kylin_admin 数据库的 INSERT 权限
REVOKE INSERT ON kylin_admin.* FROM 'kim'@'localhost';

删除 kim 用户：

DROP USER 'kim'@'localhost';

1.3 角色管理

角色管理使得你可以创建一组权限并将其赋给多个用户，从而简化权限管理。如果你有多个用户需要相同的权限，可以通过创建角色来管理。

实际上简单的理解就是，创建一个用户可以不单独设置当前用户所拥有的权限

但是可以创建一个或多个不同的角色并且设置不同的权限用来绑定给一个或多个不同的用户

操作步骤：

1. 创建一个角色（例如管理员角色 admin_role）：

CREATE ROLE 'admin_role';

2. 授权角色权限：

将需要的权限授予该角色。例如，我们将 admin_role 角色赋予对 kylin_admin 数据库的所有权限。

GRANT ALL PRIVILEGES ON kylin_admin.* TO 'admin_role';

这一步将 admin_role 角色授予对 kylin_admin 数据库的所有权限。这样，任何被分配此角色的用户都会自动获得这些权限。

3.将角色分配给用户：

将 admin_role 角色分配给特定用户（例如 admin_user）。此时，admin_user 将拥有 admin_role 角色的所有权限。

GRANT 'admin_role' TO 'admin_user'@'localhost';

现在，admin_user 将自动获得 admin_role 角色所拥有的所有权限。

角色管理的好处在于，当你需要更改某个角色的权限时，只需修改角色的权限配置，所有赋予该角色的用户将自动更新其权限。

4. 实际例子与使用场景

为了更好地理解角色管理，我们可以通过几个实际的案例来展示如何创建多个角色并将它们应用于不同的用户。

例子 1：创建和使用管理员角色

1. 创建角色：

语法：

CREATE ROLE 'role_name';

例如，创建三个角色：

• kylin_role1：授予所有权限

• kylin_role2：只读权限

• kylin_role3：增、删、改、查权限

CREATE ROLE 'kylin_role1';  -- 创建角色 kylin_role1，授予所有权限

CREATE ROLE 'kylin_role2';  -- 创建角色 kylin_role2，授予只读权限

CREATE ROLE 'kylin_role3';  -- 创建角色 kylin_role3，授予增删改查权限

2. 删除角色：

语法

DROP ROLE 'role_name';

例如，删除角色：

DROP ROLE 'kylin_role1';  -- 删除角色 kylin_role1

DROP ROLE 'kylin_role2';  -- 删除角色 kylin_role2

DROP ROLE 'kylin_role3';  -- 删除角色 kylin_role3

我们刚刚已经创建了三个角色，接下来我们需要给这三个角色分别设置权限

首先需要注意的是，需要基于管理员身份登录之后，才可以设置权限，所以我们需要登录管理员账号

mysql -u root -p

输入密码，成功进入之后：

kylin_role1：授予所有权限（全权限）

GRANT ALL PRIVILEGES ON *.* TO 'kylin_role1' WITH GRANT OPTION;

kylin_role2：只读权限（只允许查询）

GRANT SELECT ON *.* TO 'kylin_role2';

kylin_role3：增、删、改、查权限（增删改查）

GRANT SELECT, INSERT, UPDATE, DELETE ON *.* TO 'kylin_role3';

• SELECT：读取数据（查询）。

• INSERT：写入数据（插入）。

• UPDATE：修改数据（更新）。

• DELETE：删除数据。

• ALL PRIVILEGES：授予所有权限（包括读取、写入、修改、删除等）。

这个角色可以执行所有操作，适合数据库管理员（DBA）或者应用管理员使用。

这个时候，我们希望把这三个角色分别赋给三个不同的用户：

语法：

GRANT 'role_name' TO 'username'@'host';

例如，将角色

kylin_role1 ==> kylin_user1

kylin_role2 ==> kylin_user2

kylin_role3 ==> kylin_user3：

GRANT 'kylin_role1' TO 'kylin_user1'@'localhost';

GRANT 'kylin_role2' TO 'kylin_user2'@'localhost';

GRANT 'kylin_role3' TO 'kylin_user3'@'localhost';

3. 激活角色：

MySQL中的角色不是自动激活的，必须显式激活角色。用户登录后，需要手动激活角色。

语法：

SET ROLE 'role_name';

例如，激活 kylin_user1, kylin_user2, kylin_user3 的角色：

SET ROLE 'kylin_role1';

SET ROLE 'kylin_role2';

SET ROLE 'kylin_role3';

4. 查看用户的角色

可以查看某个用户当前拥有的角色和权限：

语法：

SHOW GRANTS FOR 'username'@'host';

例如，查看 kylin_user1, kylin_user2, kylin_user3 的角色和权限：

SHOW GRANTS FOR 'kylin_user1'@'localhost';

SHOW GRANTS FOR 'kylin_user2'@'localhost';

SHOW GRANTS FOR 'kylin_user3'@'localhost';

5. 撤销角色与权限

撤销角色或权限时，可以使用 REVOKE 命令。

撤销角色：撤销用户的角色，可以使用以下命令：

语法：

REVOKE 'role_name' FROM 'username'@'host';

例如，撤销用户 kylin_user1 的角色 kylin_role1：

REVOKE 
'kylin_role1' FROM 'kylin_user1'@'localhost';

撤销权限：撤销某个角色的权限，可以使用以下命令：

语法：

REVOKE ALL PRIVILEGES ON *.* FROM 'role_name';

例如，撤销 kylin_role2 的所有权限：

REVOKE ALL PRIVILEGES ON *.* FROM 'kylin_role2';

6. 删除用户

如果需要删除用户，可以使用以下命令：

语法：

DROP USER 'username'@'host';

例如，删除 kylin_user1：

DROP USER 'kylin_user1'@'localhost';

2. mysql 数据加密

数据加密的种类

MySQL 提供了多种加密机制，常见的有以下几种：

1.1 静态数据加密（数据存储加密）

静态数据加密指的是加密存储在磁盘上的数据，即数据在数据库表中被存储时就是加密状态。

Transparent Data Encryption (TDE) ：MySQL Enterprise Edition 提供的透明数据加密（TDE）功能，可以对数据库文件系统层面进行加密，数据存储时自动加密。

启用 TDE：

• 确保你有 MySQL Enterprise 版，因为 TDE 是 MySQL 企业版的功能。

• 配置 MySQL 数据库的加密密钥管理系统（KMS）。

1.2 列级加密

MySQL 提供了 列级加密，可以对特定列的数据进行加密，防止特定敏感数据泄露。列级加密常常用于存储敏感信息，如密码、信用卡号码等。

列级加密的实现：

• 使用 AES 加密函数 ：你可以使用 MySQL 提供的 AES_ENCRYPT() 和 AES_DECRYPT() 函数来加密和解密数据。

示例：使用 AES 加密和解密存储在 kylin_admin 数据库中的数据

-- 创建表，包含需要加密的列
CREATE TABLE users (
    id INT AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(255) NOT NULL,
    password VARCHAR(255) NOT NULL,
    credit_card_number VARBINARY(255)  -- 用来存储加密数据
);

-- 插入加密数据
INSERT INTO users (username, password, credit_card_number) 
VALUES ('user1', 'password123', AES_ENCRYPT('1234-5678-9876-5432', 'your_secret_key'));

-- 查询时解密数据
SELECT username, AES_DECRYPT(credit_card_number, 'your_secret_key') AS decrypted_credit_card
FROM users;

• AES_ENCRYPT() 用于加密，AES_DECRYPT() 用于解密。

• your_secret_key 是加密和解密的密钥。

注意：加密和解密过程中使用的密钥需要妥善管理，以确保数据的安全性。

1.3 传输加密

MySQL 通过 SSL/TLS 实现传输加密，保护数据在客户端与数据库服务器之间的传输安全。

启用 SSL 加密：

1. 生成证书： 使用 OpenSSL 生成 SSL 证书和私钥。

openssl genrsa 2048 > server-key.pem
openssl req -new -key server-key.pem -out server-req.pem
openssl x509 -req -in server-req.pem -signkey server-key.pem -out server-cert.pem
openssl genrsa 2048 > client-key.pem
openssl req -new -key client-key.pem -out client-req.pem
openssl x509 -req -in client-req.pem -signkey client-key.pem -out client-cert.pem

2. 配置 MySQL 启用 SSL：

编辑 MySQL 配置文件（my.cnf）并启用 SSL：

[mysqld]
ssl-ca=/path/to/ca-cert.pem
ssl-cert=/path/to/server-cert.pem
ssl-key=/path/to/server-key.pem

3. 连接时启用 SSL：

客户端使用 SSL 连接：

mysql -u kylin_user -p --ssl-ca=/path/to/ca-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem

3. MySQL 审计日志

审计日志可以记录数据库的所有操作行为（如查询、插入、更新、删除等），用于监控和追踪数据库操作，便于排查异常、违规操作。

3.1 启用 MySQL 审计日志

MySQL 5.5 及以后版本提供了 Audit Plugin ，常用的审计插件是 MySQL Enterprise Audit 或 第三方插件 （如 audit_log 插件）。审计日志可以记录数据库操作的详细信息，如 SQL 查询、用户行为等。

3.2 安装与启用审计插件

1. 启用审计插件：

• 对于 MySQL Enterprise Edition，审计插件是内置的，可以通过如下命令启用：

INSTALL PLUGIN audit_log SONAME 'audit_log.so';

对于 MySQL Community Edition，你可以使用第三方插件，例如 MariaDB Audit Plugin 或 Percona Audit Plugin，这些插件通常可以通过下载和安装来启用。

2. 配置审计日志：

编辑 my.cnf 配置文件来启用审计日志记录。

[mysqld]
audit_log_format = NEW
audit_log_file = /path/to/audit.log

• audit_log_format：设置日志格式，NEW 格式更适合用于审计。

• audit_log_file：设置审计日志文件的位置。

3. 查询审计日志：

你可以直接查看审计日志文件，或者使用 MySQL 提供的系统表（如 mysql.audit_log 表）来查询日志：

SELECT * FROM mysql.audit_log;

4. 审计日志的内容：

审计日志通常记录以下内容：

• SQL 查询语句

• 操作的用户

• 操作的时间

• 客户端主机信息

• 是否成功（成功/失败）

例如，你想记录所有涉及数据库 kylin_admin 的查询操作，可以通过审计插件来捕捉所有对该数据库的查询：

SELECT * FROM mysql.audit_log WHERE db = 'kylin_admin';

4. 数据加密与审计的整合应用：案例分析

假设你有一个 kylin_admin 数据库，包含一个敏感信息表，存储了用户的个人信息和支付信息。为了增强安全性，你不仅需要对这些敏感数据进行加密，还需要审计用户的操作，以防止未授权的访问。

4.1 数据加密

• 使用 AES 加密存储敏感信息（如用户的信用卡号）。

CREATE TABLE user_data (
    user_id INT AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(255) NOT NULL,
    credit_card_number VARBINARY(255)  -- 用于存储加密的数据
);

-- 插入加密数据
INSERT INTO user_data (username, credit_card_number) 
VALUES ('user1', AES_ENCRYPT('1234-5678-9876-5432', 'encryption_key'));

4.2 审计日志

启用审计插件记录所有对 user_data 表的操作，并确保所有用户访问该表的行为都能被追踪到。

[mysqld]
audit_log_format = NEW
audit_log_file = /var/log/mysql/audit.log

之后，查看审计日志来监控谁访问了 user_data 表，是否有异常的访问行为。

4.3 总结

• 数据加密确保了敏感信息在存储和传输过程中始终处于加密状态，即使数据被泄露也无法直接被读取。

• 审计日志则帮助你追踪用户的操作历史，发现不正常的访问行为，及时响应潜在的安全威胁。