印刻数据库

外观

MySQL 最小权限原则安全实践

最小权限原则的概念

最小权限原则是信息安全领域的核心原则之一,指用户或程序仅应被授予完成其工作所需的最小权限集,不应拥有任何不必要的权限。在 MySQL 数据库中,应用最小权限原则可以有效降低安全风险,防止未授权访问和数据泄露。

最小权限原则的重要性

1. 降低安全风险

通过限制用户权限,可以减少攻击者利用漏洞或弱密码获取敏感数据的可能性。

2. 防止误操作

限制用户权限可以防止合法用户因误操作而对数据库造成损害,如意外删除表或修改关键数据。

3. 便于审计和监控

权限集中管理便于跟踪用户活动,更容易发现异常行为。

4. 符合合规要求

许多行业法规(如 GDPR、PCI DSS)要求严格控制数据访问权限,最小权限原则是合规的基础。

MySQL 中的权限类型

1. 全局权限

作用于整个 MySQL 实例的权限,如 CREATE USERRELOAD 等。

2. 数据库级权限

作用于特定数据库的权限,如 CREATEALTERDROP 等。

3. 表级权限

作用于特定表的权限,如 SELECTINSERTUPDATEDELETE 等。

4. 列级权限

作用于表中特定列的权限,如对敏感列(如密码、身份证号)的 SELECT 权限。

5. 存储过程和函数权限

作用于存储过程和函数的权限,如 EXECUTE 权限。

实现最小权限原则的步骤

1. 分析用户需求

明确每个用户或应用程序需要访问哪些数据库、表和列,以及需要执行哪些操作。

2. 创建专用用户

为每个应用程序或功能创建专用用户,避免使用共享用户。

sql
CREATE USER 'app_user'@'192.168.1.%' IDENTIFIED BY 'strong_password';

3. 授予必要的最小权限

根据用户需求,授予最小的必要权限。

sql
-- 授予应用用户对特定数据库的只读权限
GRANT SELECT ON app_db.* TO 'app_user'@'192.168.1.%';

-- 授予应用用户对特定表的读写权限
GRANT SELECT, INSERT, UPDATE, DELETE ON app_db.users TO 'app_user'@'192.168.1.%';

-- 授予应用用户对特定列的权限
GRANT SELECT (id, name, email) ON app_db.users TO 'app_user'@'192.168.1.%';

4. 定期审查权限

定期审查用户权限,移除不再需要的权限。

sql
-- 查看用户权限
SHOW GRANTS FOR 'app_user'@'192.168.1.%';

-- 撤销不必要的权限
REVOKE DELETE ON app_db.users FROM 'app_user'@'192.168.1.%';

5. 使用角色管理权限(MySQL 8.0+)

在 MySQL 8.0 及以上版本中,可以使用角色来更方便地管理权限。

sql
-- 创建角色
CREATE ROLE 'read_only';

-- 授予角色权限
GRANT SELECT ON *.* TO 'read_only';

-- 将角色分配给用户
GRANT 'read_only' TO 'app_user'@'192.168.1.%';

-- 激活角色
SET DEFAULT ROLE 'read_only' FOR 'app_user'@'192.168.1.%';

版本差异

MySQL 5.6 及之前版本

  • 不支持角色管理,只能直接向用户授予权限
  • 权限管理较为繁琐,需要为每个用户单独管理权限
  • 不支持密码过期策略,需要手动管理密码

MySQL 5.7 版本

  • 引入了密码过期策略和密码强度验证
  • 增强了权限审计功能
  • 支持 NO_AUTO_CREATE_USER 模式,防止通过 GRANT 语句自动创建用户

MySQL 8.0 版本

  • 引入了角色管理系统,便于权限集中管理
  • 支持 SET DEFAULT ROLE 语句,自动激活用户角色
  • 增强了密码管理功能,支持密码历史记录和复杂密码策略
  • 引入了 WITH ADMIN OPTION 替代 WITH GRANT OPTION,增强了权限管理安全性
  • 支持 CREATE USER ... WITH ROLE 语句,创建用户时直接分配角色

生产实践建议

1. 禁用 root 远程访问

sql
-- 移除 root 远程访问权限
DELETE FROM mysql.user WHERE User='root' AND Host!='localhost';
FLUSH PRIVILEGES;

2. 使用强密码策略

sql
-- 设置密码策略
SET GLOBAL validate_password.policy = STRONG;
SET GLOBAL validate_password.length = 12;

3. 定期轮换密码

sql
-- 设置密码过期时间为 90 天
ALTER USER 'app_user'@'192.168.1.%' PASSWORD EXPIRE INTERVAL 90 DAY;

4. 使用 IP 白名单

sql
-- 限制用户只能从特定 IP 访问
CREATE USER 'app_user'@'192.168.1.100' IDENTIFIED BY 'strong_password';

5. 启用审计日志

sql
-- 启用审计日志插件
INSTALL PLUGIN audit_log SONAME 'audit_log.so';

6. 定期备份权限表

sql
-- 备份权限表
mysqldump -u root -p mysql user db tables_priv columns_priv procs_priv > privileges_backup.sql

7. 分离管理权限和业务权限

创建专门的管理用户和业务用户,分离管理权限和业务权限。

常见问题(FAQ)

Q1: 如何确定用户需要哪些权限?

A1: 可以通过以下方法确定用户权限需求:

  • 分析应用程序的功能需求
  • 查看应用程序的数据库访问代码
  • 使用 general_log 记录用户的实际操作
  • 采用"最小权限+逐步添加"的策略

Q2: 如何处理应用程序需要临时提升权限的情况?

A2: 可以采用以下方法:

  • 使用存储过程封装需要高权限的操作,通过 EXECUTE 权限控制访问
  • 创建临时用户,使用后立即删除
  • 使用角色管理,临时激活高权限角色

Q3: MySQL 8.0 的角色管理与直接授予权限相比有什么优势?

A3: 角色管理的优势包括:

  • 简化权限管理,便于集中控制
  • 便于权限变更,只需修改角色权限即可影响所有关联用户
  • 提高安全性,减少误操作
  • 便于权限审计和合规性检查

Q4: 如何撤销用户的所有权限?

A4: 可以使用以下方法撤销用户的所有权限:

sql
-- 撤销全局权限
REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'app_user'@'192.168.1.%';

-- 刷新权限
FLUSH PRIVILEGES;

Q5: 如何防止用户获取超出其权限的数据?

A5: 可以采用以下方法:

  • 严格按照最小权限原则授予权限
  • 使用视图限制用户只能访问特定数据
  • 启用行级安全性(MySQL 8.0+)
  • 定期审计用户权限和访问日志