Ubuntu中MySQL权限设置指南

一、准备工作：登录MySQL与安全配置

在开始权限设置前，需先登录MySQL并进行基础安全配置。

1. 登录MySQL：打开终端，使用Ubuntu系统自带的mysql命令行工具，以root用户身份登录（root是MySQL的超级管理员账户，拥有最高权限）：

   sudo mysql -u root -p
   

   输入密码后即可进入MySQL命令行界面。
2. 初始化安全配置（可选但推荐）：若为首次安装MySQL，建议运行mysql_secure_installation脚本，完成以下安全设置：更改root密码、移除匿名用户、禁止root远程登录、删除测试数据库、重新加载权限表。这一步能有效降低数据库被非法访问的风险。

二、创建用户：明确权限主体

权限设置的第一步是创建用户，MySQL用户由用户名+主机名组成（如'username'@'localhost'表示仅允许本地连接）。

• 创建本地用户（仅允许从本机登录）：

  CREATE USER 'newuser'@'localhost' IDENTIFIED BY 'StrongPassword123!';
  

• 创建远程用户（允许从指定IP或任意IP登录）：

  CREATE USER 'newuser'@'192.168.1.100' IDENTIFIED BY 'StrongPassword123!';
  -- 或允许从任意IP登录（生产环境慎用，需配合防火墙限制）
  CREATE USER 'newuser'@'%' IDENTIFIED BY 'StrongPassword123!';
  

  注：IDENTIFIED BY用于设置用户密码，建议使用包含大小写字母、数字和符号的强密码。

三、授予权限：精细化控制访问范围

MySQL权限分为全局权限（影响整个MySQL服务器）、数据库权限（影响特定数据库）、表权限（影响特定表）和列权限（影响特定列）。需根据用户需求分配最小必要权限，避免过度授权。

1. 常用权限类型

2. 授权命令示例

• 授予全局所有权限（仅适用于超级管理员）：

  GRANT ALL PRIVILEGES ON *.* TO 'admin'@'localhost' WITH GRANT OPTION;
  

• 授予数据库所有权限（适用于数据库管理员）：

  GRANT ALL PRIVILEGES ON mydatabase.* TO 'dbadmin'@'localhost';
  

• 授予表特定权限（适用于普通开发人员）：

  GRANT SELECT, INSERT, UPDATE ON mydatabase.users TO 'devuser'@'localhost';
  

• 授予远程用户权限（适用于跨服务器访问）：

  GRANT SELECT, INSERT ON mydatabase.products TO 'remoteuser'@'%';
  

  注：WITH GRANT OPTION需谨慎使用，它会允许用户将自身权限授予他人，增加安全风险。

四、刷新权限：使更改生效

执行GRANT或REVOKE命令后，需通过以下命令刷新权限表，使更改立即生效：

FLUSH PRIVILEGES;

注：MySQL 8.0及以上版本中，FLUSH PRIVILEGES并非必须（权限更改会自动生效），但显式执行可确保权限及时更新。

五、查看权限：验证设置是否正确

若需确认用户的权限设置，可使用SHOW GRANTS命令：

• 查看当前用户权限：

  SHOW GRANTS FOR CURRENT_USER();
  

• 查看指定用户权限：

  SHOW GRANTS FOR 'newuser'@'localhost';
  

  示例输出：

  +--------------------------------------------------------------+
  | Grants for newuser@localhost                                 |
  +--------------------------------------------------------------+
  | GRANT USAGE ON *.* TO `newuser`@`localhost`                  |
  | GRANT SELECT, INSERT ON `mydatabase`.`users` TO `newuser`@`localhost` |
  +--------------------------------------------------------------+
  

  这表明newuser@localhost拥有mydatabase.users表的SELECT和INSERT权限，以及全局的USAGE权限（默认权限，无实际操作权限）。

六、修改与撤销权限：动态调整访问控制

1. 修改用户密码

若需修改用户密码，可使用ALTER USER命令：

ALTER USER 'newuser'@'localhost' IDENTIFIED BY 'NewStrongPassword456!';

注：修改密码后无需刷新权限，新密码会立即生效。

2. 撤销权限

若需收回用户的某些权限，可使用REVOKE命令（语法与GRANT相反）：

• 撤销表的特定权限：

  REVOKE INSERT ON mydatabase.users FROM 'devuser'@'localhost';
  

• 撤销数据库的所有权限：

  REVOKE ALL PRIVILEGES ON mydatabase.* FROM 'dbadmin'@'localhost';
  

• 撤销全局权限：

  REVOKE GRANT OPTION ON *.* FROM 'admin'@'localhost';
  

  撤销权限后需执行FLUSH PRIVILEGES;使更改生效。

七、删除用户：彻底移除权限主体

若不再需要某用户，可使用DROP USER命令彻底删除：

DROP USER 'newuser'@'localhost';

注：删除用户会同时移除其所有权限，删除前需确认该用户不再被使用。

八、权限管理的最佳实践

1. 最小权限原则：仅授予用户完成任务所需的最低权限（如开发人员仅需SELECT、INSERT权限，无需DROP权限）。
2. 定期审查权限：每月检查一次用户权限，移除不必要的权限或闲置用户。
3. 避免使用root：日常操作使用专用用户，仅在必要时使用root账户。
4. 限制远程访问：若需允许远程访问，应将%替换为具体IP地址，并通过防火墙限制访问来源。
5. 使用强密码：密码长度不少于12位，包含大小写字母、数字和符号，定期更换密码。

通过以上步骤，您可在Ubuntu系统中高效管理MySQL用户权限，确保数据库的安全性与灵活性。