Debian MySQL权限管理详解

Debian系统上，MySQL权限管理是通过用户-主机组合（如'username'@'localhost'）实现的，核心围绕创建用户、分配权限、维护权限安全展开。以下是详细操作与管理策略：

一、基础准备：登录MySQL

所有权限管理操作需以root用户或具有GRANT OPTION权限的用户登录MySQL命令行：

sudo mysql -u root -p

输入密码后进入MySQL交互界面。

二、用户账户管理

1. 创建用户

使用CREATE USER语句创建用户，语法为：

CREATE USER 'username'@'host' IDENTIFIED BY 'password';

• 'username'：自定义用户名；
• 'host'：允许连接的主机（localhost仅本地连接，%允许任意主机，具体IP如192.168.1.100限制特定IP）；
• 'password'：用户密码（建议使用强密码，包含大小写字母、数字和特殊字符）。

示例：创建本地用户dev_user，密码DevPass123：

CREATE USER 'dev_user'@'localhost' IDENTIFIED BY 'DevPass123';

2. 修改用户密码

使用ALTER USER或SET PASSWORD语句修改密码：

-- 方式1：ALTER USER（推荐）
ALTER USER 'username'@'host' IDENTIFIED BY 'new_password';

-- 方式2：SET PASSWORD
SET PASSWORD FOR 'username'@'host' = 'new_password';

示例：将dev_user的密码改为NewDevPass456：

ALTER USER 'dev_user'@'localhost' IDENTIFIED BY 'NewDevPass456';

3. 删除用户

使用DROP USER语句删除用户（删除前需确保用户无正在运行的会话）：

DROP USER 'username'@'host';

示例：删除dev_user：

DROP USER 'dev_user'@'localhost';

三、权限分配与回收

1. 权限类型

MySQL权限分为全局权限（影响所有数据库）、数据库级权限（影响特定数据库）、表级权限（影响特定表）和列级权限（影响特定列）。常见权限包括：

• 全局权限：CREATE USER（创建用户）、GRANT OPTION（授权其他用户）、SHOW DATABASES（查看所有数据库）；
• 数据库级权限：CREATE（创建表/数据库）、DROP（删除表/数据库）、ALTER（修改表结构）；
• 表级权限：SELECT（查询数据）、INSERT（插入数据）、UPDATE（更新数据）、DELETE（删除数据）；
• 列级权限：针对表中特定列的SELECT、INSERT等（如GRANT SELECT(column1) ON db.table TO 'user'@'host'）。

2. 授予权限

使用GRANT语句分配权限，语法为：

GRANT privilege_type [, privilege_type ...] ON object TO 'username'@'host' [WITH GRANT OPTION];

• privilege_type：权限类型（如SELECT、ALL PRIVILEGES）；
• object：权限对象（*.*表示所有数据库的所有表，db_name.*表示某数据库的所有表，db_name.table_name表示某数据库的某表）；
• WITH GRANT OPTION：允许用户授权其他用户（谨慎使用）。

示例：

• 授予dev_user对mydb数据库的所有权限：

  GRANT ALL PRIVILEGES ON mydb.* TO 'dev_user'@'localhost';
  

• 授予report_user对sales数据库的SELECT和INSERT权限：

  GRANT SELECT, INSERT ON sales.* TO 'report_user'@'localhost';
  

3. 刷新权限

执行GRANT或REVOKE后，需用FLUSH PRIVILEGES使更改立即生效（MySQL 8.0+版本可自动刷新，但显式执行更安全）：

FLUSH PRIVILEGES;

4. 回收权限

使用REVOKE语句回收权限，语法与GRANT相反：

REVOKE privilege_type [, privilege_type ...] ON object FROM 'username'@'host';

示例：

• 回收dev_user对mydb的所有权限：

  REVOKE ALL PRIVILEGES ON mydb.* FROM 'dev_user'@'localhost';
  

• 回收report_user对sales的INSERT权限：

  REVOKE INSERT ON sales.* FROM 'report_user'@'localhost';
  

5. 查看权限

使用SHOW GRANTS语句查看用户当前权限：

SHOW GRANTS FOR 'username'@'host';

示例：查看dev_user的权限：

SHOW GRANTS FOR 'dev_user'@'localhost';

输出结果类似：

GRANT USAGE ON *.* TO 'dev_user'@'localhost'
GRANT ALL PRIVILEGES ON `mydb`.* TO 'dev_user'@'localhost'

四、安全加固策略

1. 遵循最小权限原则

仅授予用户完成工作所需的最小权限（如报表用户只需SELECT权限，开发用户只需SELECT、INSERT权限），避免使用GRANT ALL PRIVILEGES。

2. 限制远程访问

• 若无需远程访问，将bind_address设置为127.0.0.1（仅本地访问）：
  编辑/etc/mysql/mysql.conf.d/mysqld.cnf，修改：

  bind_address = 127.0.0.1
  

• 重启MySQL服务：

  sudo systemctl restart mysql
  

• 若需远程访问，将bind_address设为0.0.0.0，并仅允许特定IP连接（如'user'@'192.168.1.100'），同时使用防火墙限制端口（默认3306）。

3. 禁止root远程登录

通过mysql_secure_installation脚本或手动修改权限，禁止root用户从远程主机登录：

REVOKE ALL PRIVILEGES ON *.* FROM 'root'@'%';
GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' WITH GRANT OPTION;
FLUSH PRIVILEGES;
```。  


### 4. 删除匿名用户与test数据库  
匿名用户（无用户名）和`test`数据库是MySQL默认创建的，存在安全隐患，需删除：  
```sql
-- 删除匿名用户
DELETE FROM mysql.user WHERE User='';
-- 删除test数据库
DROP DATABASE IF EXISTS test;
FLUSH PRIVILEGES;

或通过mysql_secure_installation脚本一键完成。

5. 定期审查权限

定期检查用户权限（如每月一次），使用以下命令导出权限列表：

mysql -u root -p -e "SELECT User, Host, Db FROM mysql.db;" > mysql_permissions_$(date +%F).txt

及时移除闲置用户（如离职员工的账户）和不必要的权限。

6. 启用审计日志

在my.cnf中启用通用查询日志（General Query Log）或慢查询日志（Slow Query Log），记录用户操作：

[mysqld]
general_log = 1
general_log_file = /var/log/mysql/mysql.log
slow_query_log = 1
slow_query_log_file = /var/log/mysql/slow.log

重启MySQL后，日志将记录所有SQL语句，便于安全事件追踪。

通过以上步骤，可实现Debian系统上MySQL权限的有效管理，确保数据库安全。