MySQL8.0账户system_user权限,你了解吗?

2023年 8月 18日 60.1k 0

MySQL system_user权限介绍

     MySQL从8.0.16版本开始,MySQL利用system_user权限来区分普通用户和系统用户。具体表现是:

1、拥有system_user权限的账号,是系统账号

2、没有system_user权限的账号,是普通账号

系统账号可以修改系统账号自身和普通账号;

普通账号只能修改普通账号自身。

system_user权限的影响范围:

1、账号管理方面

具有system_user权限的系统账号,可以对普通账号和其他系统账号进行管理,包含账号的创建、删除、修改,权限的授予和回收,密码修改,或者密码属性修改等(例如修改密码过期时间);

2、kill会话方面

a、kill一个具有system_user权限的账号A持有的会话,你自身执行kill命令的账号B也必须有system_user权限;

b、从MySQL8.0.30开始,

    如果账号A将MySQL server置为下线模式(参数offline-mode控制),除非账号B拥有connection_admin权限或者super权限,否则账号B无法创建新的连接,但是账号B老的连接不会被打断。

c、MySQL8.0.16 之前,如果一个用户拥有connection_admin权限或者super权限,则它可以kill任何正在执行的会话和语句。

3、修改存储过程、事件或者视图的定义

   想要修改某个存储过程的定义用户,如果原来的账号A拥有system_user权限,那么修改的账号也需要拥有system_user权限。

4、定义强制角色(mandatory role)

首先,我们简单解释下强制角色的概念,mandatory role,它是MySQL8.0里面的一个配置,可以通过下面的语句查看:

  1. show variables like '%manda%';

  2. +-----------------+-------+

  3. | Variable_name   | Value |

  4. +-----------------+-------+

  5. | mandatory_roles |       |

  6. +-----------------+-------+

  7. 1 row in set (0.00 sec)

这个参数里面可以写入一些定义好的角色,对于任意一个定义的用户,这些角色都会被强加在这个用户上。一个常见的用法是:

SET  mandatory_roles = '`role1`@`%`,`role2`,role3,role4@localhost';

    了解了强制角色概念之后,说回到system_user权限,在MySQL8.0.16版本以后,如果一个角色role有system_user权限,那么它不能被放在强制角色列表中,而之前,任何角色role都可以放在这个列表中。

5、审计方面的影响。

     这个特点很少使用,这里我不做赘述了。有兴趣可以查看官网。

 02 

具体案例分析

1、system_user权限对账号安全性的影响

MySQL5.7版本下:

  1. 一、

  2. 利用root用户登录,创建root和test 2个账号,

  3. 其中,test账号只有create user权限

  4. create user root@'10.%' ;

  5. grant all privileges on *.* to root@'10.%';

  6. create user test@'%';

  7. grant create user on *.* to test@'%';

  8. 二、

  9. 再次利用test账号登录,并删除root@''账号:

  10. drop user root@'10.%' ;

  11. Query OK, 0 rows affected (0.00 sec)

  12. 执行成功

MySQL 8.0 版本下:

  1. 一、

  2. 利用root用户登录,创建root和test 2个账号,

  3. 其中,test账号只有create user权限

  4. create user root@'10.%' ;

  5. grant all privileges on *.* to root@'10.%';

  6. create user test@'%';

  7. grant create user on *.* to test@'%';

  8. 二、

  9. 再次利用test账号登录,并删除root@''账号:

  10. drop user root@'10.%' ;

  11. ERROR 1227 (42000): Access denied; you need (at least one of) the SYSTEM_USER privilege(s) for this operation

  12. 执行失败!!!

上述例子中不难看出:

MySQL5.7版本下,只要一个账号有create user权限,就可以对其他账号进行删除操作,甚至root账号它都可以删除,也就是说普通账号可以删除root这种高权限的系统账号;

MySQL8.0版本下,一个账号A有create user权限,无法对拥有system_user权限的root账号进行删除。

A账号还需要拥有system_user权限,才可以对root账号进行删除,因为root用户本身拥有system_user权限,也是一个系统账号,只有系统账号才能操作系统账号

2、system_user权限,对账号密码的修改

看下面MySQL8.0.22版本下的例子,让我们对system_user权限更加理解:

  1. create user a,b,c,d;

  2. grant create user             on *.* to a;

  3. grant system_user             on *.* to b;

  4. grant create user,system_user on *.* to c;

  5. grant all                     on *.* to d;

  6. 1、用 a 用户登录,去改 c 用户的密码,提示需要SYSTEM_USER 权限

  7. alter user c identified by 'c';

  8. ERROR 1227 (42000): Access denied; you need (at least one of) the SYSTEM_USER privilege(s) for this operation

  9. 理由:a用户是一个普通用户,无法修改具有system_user权限的系统用户

  10. 2、用 b 用户登录,去改 c 用户的密码,提示需要CREATE USER 权限

  11. alter user c identified by 'c';

  12. ERROR 1227 (42000): Access denied; you need (at least one of) the CREATE USER privilege(s) for this operation

  13. 理由:b用户是一个系统用户,但是由于缺少create user权限,所以不能修改系统用户c的密码

  14. 3、用 c 用户登录,去改 c 用户的密码,修改成功

  15. alter user c identified by 'c'; 

  16. Query OK, 0 rows affected (0.01 sec)

  17. 理由:c用户是一个系统用户,本身有create user和system_user的权限,所以修改自己也能成功

  18. 4、用 c 用户登录,去改 d 用户的密码,修改成功(d用户有all的权限)

  19. alter user d identified by 'd'; 

  20. Query OK, 0 rows affected (0.01 sec)

  21. 理由:c用户是一个系统用户,本身有create user和system_user的权限,所以可以修改其他任意的系统账号

可以看到:

普通账号想要修改系统账号的密码,必须将普通账号变成系统账号,也就是添加system_user的权限。

03

总结

从MySQL8.0版本开始,系统账号和普通账号之间有了鸿沟,具体表现在:

1、拥有system_user权限的账号,是系统账号

2、没有system_user权限的账号,是普通账号

3、在拥有create user权限的情况下,系统账号可以修改其他系统账号和所有普通账号;

4、在拥有create user权限的情况下,普通账号只能修改其他普通账号。

PS:这里还有一个细节。

如果一个账号本身没有system_user的权限,但是被赋予了一个角色,这个角色拥有system_user权限,那么相当于这个账号也就拥有了system_user权限。也就变成了一个系统账号。

更多更详细的内容,可以参考官方文档:

相关文章

Oracle如何使用授予和撤销权限的语法和示例
Awesome Project: 探索 MatrixOrigin 云原生分布式数据库
下载丨66页PDF,云和恩墨技术通讯(2024年7月刊)
社区版oceanbase安装
Oracle 导出CSV工具-sqluldr2
ETL数据集成丨快速将MySQL数据迁移至Doris数据库

发布评论