SQLAdmin在CentOS中的权限分配策略

SQLAdmin 在 CentOS 的权限分配策略

一 策略总览

• 采用最小权限原则：区分仅管理单一业务库与全库维护两类职责，避免日常使用高权账户。
• 区分系统账户与数据库账户：系统层面的 sudo 权限与数据库账户权限解耦，避免把数据库 root 当成日常运维账号。
• 按“主机来源”最小化授权：本地维护使用 localhost，跨机房或跳板机使用特定网段/IP，避免开放 %（任意主机）。
• 强制加密传输与强口令/轮换，并配合防火墙与审计形成闭环。

二 数据库层权限设计

• 方案A 全库维护账户（仅限受控主机）

  • 适用：DBA 执行升级、用户与权限管理、备份恢复等。
  • 授权要点：
    • 创建：CREATE USER 'sqladmin'@'localhost' IDENTIFIED BY 'StrongPass!';
    • 授权：GRANT ALL PRIVILEGES ON *.* TO 'sqladmin'@'localhost' WITH GRANT OPTION;
    • 远程维护（限定网段）：CREATE USER 'sqladmin'@'10.0.1.%' IDENTIFIED BY 'StrongPass!'; GRANT ALL PRIVILEGES ON *.* TO 'sqladmin'@'10.0.1.%' WITH GRANT OPTION;
    • 使生效：FLUSH PRIVILEGES;
  • 安全建议：仅在内网开放，强制 SSL，定期轮换口令，谨慎使用 WITH GRANT OPTION。

• 方案B 单库运维账户（推荐日常使用）

  • 适用：应用 DBA/研发负责人对某业务库进行 DDL/DML。
  • 授权要点：
    • 创建：CREATE USER 'sqladmin'@'localhost' IDENTIFIED BY 'StrongPass!';
    • 授权：GRANT ALL PRIVILEGES ON mydb.* TO 'sqladmin'@'localhost';
    • 按需细化：GRANT SELECT, INSERT, UPDATE, DELETE ON mydb.mytable TO 'sqladmin'@'localhost';
    • 使生效：FLUSH PRIVILEGES;
  • 安全建议：不为该账户授予 WITH GRANT OPTION，按表/视图/存储过程细化权限。

• 方案C 只读审计账户

  • 适用：监控、报表、审计查询。
  • 授权要点：
    • 创建：CREATE USER 'sqlro'@'localhost' IDENTIFIED BY 'ReadOnly!';
    • 授权：GRANT SELECT ON *.* TO 'sqlro'@'localhost';（或限定到指定库/表）
    • 使生效：FLUSH PRIVILEGES;
  • 安全建议：禁止 DML/DDL，结合视图限制可见范围。

• 可选 多环境分权

  • 按环境创建账户：'sqladmin_dev'@'10.0.1.%'、'sqladmin_prod'@'10.0.2.%'，分别授予对应库权限，避免跨环境误操作。

三 系统层权限与访问控制

• 系统账户与 sudo
  • 创建系统运维账号：sudo useradd -m -s /bin/bash sqladmin
  • 加入 wheel 组：sudo usermod -aG wheel sqladmin
  • 授权命令：sudo visudo 添加 sqladmin ALL=(ALL) NOPASSWD: /usr/bin/systemctl mysqld, /usr/bin/mysql, /usr/bin/mysqldump（按需最小化）
• 防火墙
  • MySQL：sudo firewall-cmd --permanent --zone=public --add-port=3306/tcp && sudo firewall-cmd --reload
  • PostgreSQL：sudo firewall-cmd --permanent --zone=public --add-port=5432/tcp && sudo firewall-cmd --reload
• SELinux 与端口
  • 如启用 SELinux 且需远程访问数据库，按需调整布尔值：sudo setsebool -P httpd_can_network_connect_db 1（仅当 Web 服务需要连接数据库时启用）
• 日志与审计
  • 关注数据库日志：/var/log/mysqld.log
  • 系统安全日志：/var/log/secure
  • 实时查看：journalctl -u mysqld -f。

四 数据库引擎差异要点

• MySQL/MariaDB
  • 账户由“用户名+主机”唯一确定，务必为远程维护单独创建带网段的账户（如 ‘sqladmin’@‘10.0.1.%’），不要仅依赖 %。
  • 远程连接需确保网络、端口与防火墙策略一致，并优先启用 SSL/TLS。
• PostgreSQL
  • 创建用户：CREATE USER sqladmin WITH PASSWORD 'StrongPass!';
  • 授权示例：GRANT ALL PRIVILEGES ON DATABASE mydb TO sqladmin;
  • 超级用户需显式赋予：ALTER ROLE sqladmin WITH SUPERUSER;（慎用，遵循最小权限）。

五 安全加固清单

• 账户与权限
  • 禁止应用直连高权账户；按库/表/操作细化权限；定期回收不必要的 GRANT OPTION。
  • 定期审计用户清单与权限：SELECT user,host FROM mysql.user; SHOW GRANTS FOR 'sqladmin'@'localhost';
• 传输与网络
  • 强制 SSL/TLS 连接；仅开放必要端口与来源 IP；变更默认端口并非根本防护，应配合防火墙与主机加固。
• 口令与轮换
  • 使用包含大小写、数字与特殊字符的强口令；设置周期性更换策略与到期提醒。
• 备份与恢复
  • 使用专用备份账户（仅授予 SELECT, SHOW VIEW, LOCK TABLES, RELOAD 等必要权限），保留离线/异地副本并定期校验可恢复性。