【昌哥IT课堂】MySQL8.4.0新特性:FLUSH_PRIVILEGES动态权限细化与隔离[译]

介绍
MySQL 支持 RELOAD 权限。现在,想象一个数据库用户被授予了 RELOAD 权限,这允许该用户在系统上执行 FLUSH PRIVILEGES 语句。假设该用户意外地执行了另一个强大的语句,比如 RESET 或 FLUSH TABLES。这可能会导致一些问题,对吧?

考虑一个数据库管理员创建一个用户,目的是允许该用户仅执行 FLUSH PRIVILEGES 语句。然后管理员为此目的授予了 RELOAD 权限,只是意识到这也赋予了用户执行许多强大操作的能力,比如:

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.02 sec)

mysql> RESET BINARY LOGS AND GTIDS;
Query OK, 0 rows affected (0.01 sec)

mysql> FLUSH TABLES;
Query OK, 0 rows affected (0.01 sec)

在MySQL 8.0版本及之前的版本中,RELOAD 权限存在的问题是允许用户在服务器上执行各种强大的语句,包括任何类型的 FLUSH 或 RESET 命令。这会阻止管理员对执行特定语句的用户进行更精细的控制。

为了解决这个问题,在 MySQL 8.4 Community 和 Enterprise 版本以及 HeatWave 中,我们引入了一种新的权限:FLUSH_PRIVILEGES。当授予了这个权限时,它允许用户执行 FLUSH PRIVILEGES 语句,而无需 RELOAD 权限,从而提供了对执行 FLUSH PRIVILEGES 语句的更精细级别控制,这是在对 MySQL 权限表进行更改后刷新内存权限的关键操作。

用法
让我们看看在 MySQL 8.4 中如何使用这个新的权限:

以 root 用户身份连接,创建一个测试用户,并为该用户分配 FLUSH_PRIVILEGES 权限,而不是 RELOAD,就像这样:
mysql> CREATE USER test@localhost identified by 'Shukuinfo123.';
Query OK, 0 rows affected (0.07 sec)

mysql> GRANT FLUSH_PRIVILEGES ON *.* TO test@localhost;
Query OK, 0 rows affected (0.01 sec)

测试用户test@localhost 现在可以无问题地执行FLUSH PRIVILEGES语句,但不允许执行其他FLUSH或RESET语句。你可以在这里看到这一点:

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.01 sec)

mysql> RESET BINARY LOGS AND GTIDS;
ERROR 1227 (42000): Access denied; you need (at least one of) the RELOAD or FLUSH_TABLES privilege(s) for this operation

mysql> FLUSH TABLES;
ERROR 1227 (42000): Access denied; you need (at least one of) the RELOAD or FLUSH_TABLES privilege(s) for this operation


附加信息:
FLUSH_PRIVILEGES可以与角色一起使用。

要查看这个功能,创建一个名为privs_flush的角色,并将FLUSH_PRIVILEGES权限分配给这个角色。然后将这个角色分配给另一个测试用户'test2';这允许用户test2执行FLUSH PRIVILEGES语句。你可以通过执行这里显示的语句来实现这一点:
mysql> CREATE ROLE privs_flush;
Query OK, 0 rows affected (0.02 sec)

mysql> GRANT FLUSH_PRIVILEGES ON *.* TO privs_flush@'%';
Query OK, 0 rows affected (0.01 sec)

mysql> CREATE USER test2@localhost identified by 'Shukuinfo123.';
Query OK, 0 rows affected (0.01 sec)

mysql> GRANT privs_flush TO test2@localhost;
Query OK, 0 rows affected (0.01 sec)

mysql> SHOW GRANTS FOR test2@localhost;
+------------------------------------------------+
| Grants for test2@localhost |
+------------------------------------------------+
| GRANT USAGE ON *.* TO `test2`@`localhost` |
| GRANT `privs_flush`@`%` TO `test2`@`localhost` |
+------------------------------------------------+
2 rows in set (0.00 sec)

以test2用户身份连接后,你可以看到这个角色如何影响用户的权限:

mysql> FLUSH PRIVILEGES;
ERROR 1227 (42000): Access denied; you need (at least one of) the RELOAD or FLUSH_PRIVILEGES privilege(s) for this operation

mysql> SET ROLE privs_flush;
Query OK, 0 rows affected (0.00 sec)

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.01 sec)

mysql> FLUSH TABLES;
ERROR 1227 (42000): Access denied; you need (at least one of) the RELOAD or FLUSH_TABLES privilege(s) for this operation

请注意,root账户默认拥有FLUSH_PRIVILEGES权限。

升级/降级注意事项
为了确保升级过程中的顺利过渡,拥有RELOAD权限的用户在升级时会自动获得新权限。

如果MySQL服务器被降级,那么有两种可能的情况:

1.降级后的服务器版本不支持FLUSH_PRIVILEGES权限:
在这种情况下,该权限没有效果,也就是说,除非用户拥有RELOAD权限,否则无法执行FLUSH PRIVILEGES语句。降级后,如果存在FLUSH_PRIVILEGES授权,FLUSH_PRIVILEGES仍然可以被授予或撤销,但没有任何效果。一旦最后一个授权被撤销,并且服务器重启后,就不再可能授予FLUSH_PRIVILEGES权限。
2.降级后的服务器版本支持FLUSH_PRIVILEGES权限:
拥有FLUSH_PRIVILEGES权限的用户仍然能够执行FLUSH PRIVILEGES语句。仍然可以使用GRANT或REVOKE来授予或撤销FLUSH_PRIVILEGES权限。


结论
新权限为管理员提供了对用户权限更精细的控制,从而满足了对FLUSH PRIVILEGES语句进行更细粒度访问控制的需求。在MySQL 8.4社区版和企业版以及HeatWave中寻找FLUSH_PRIVILEGES。

一如既往,非常感谢您使用MySQL!

 

翻译转载地址:https://blogs.oracle.com/mysql/post/flushprivileges-a-new-dynamic-privilege-to-execute-flush-privileges

 

posted on 2024-10-29 18:21  数据库帮帮团  阅读(13)  评论(0编辑  收藏  举报

导航