MySQL之四 用户和权限管理(DCL)

权限类别:

  • 库级别
  • 表级别
  • 字段级别
  • 管理类
  • 程序类

 

管理类:

  • CREATE TEMPORARY TABLES
  • CREATE USER
  • FILE
  • SUPER
  • SHOW DATABASES
  • RELOAD
  • SHUTDOWN
  • REPLICATION SLAVE
  • REPLICATION
  • LOCK TABLES
  • PROCESS

程序类

CREATE 、alter 、DROP、EXCUTE

  • FUNCTION
  • PROCEDURE
  • TRIGGER

库和表级别:

  • ALTER
  • CREATE
  • CREATE VIEW
  • DROP
  • INDEX
  • SHOW VIEW
  • GRANT OPTION: 能够把自己获得的权限赠其他用户一个副本

数据操作:

  • SELECT
  • INSERT
  • DELETE
  • UPDATE

 

所有:ALL PRIVILEGE 

 

三、元数据数据库:USE mysql;

  show tables;

  授权表: 

用户账号和密码等信息是保存在安装完mysql服务器,并启动起来以后一个mysql数据库中多个表来实现的
 	mysql权限表主要涉及到mysql数据库中的user、db、host、tables_priv、columns_priv、procs_priv。
从MySQL5.6开始,host表已经没有了。MariaDB中虽然有host表,但却不用。 mysqld进程启动时候,读取这6个表,并在内存中生成授权表;以后的后续用户的登录及其访问权限的检查,都通过这个6张表来实现,
  检查的过程不在是通过访问磁盘中的表,而是访问内存中所生成的结构信息来完成。 注:任何一个SQL语句的执行,都有可能查询授权表,因为任何一个SQL语句执行,都需要检查用户是否有访问对应权限的资源,
因此为了加速这个过程,MySQL将所有的授权表读进内存进行管理 注:MySQL服务器通过MySQL权限表来控制用户对数据库的访问,MySQL权限表存放在mysql数据库里,由bin目录下mysql_install_db脚本初始化。

 

四、用户账号及权限管理:

1.1、user表
Contains user accounts,global  privileges , and other non-privilege  columns
包含:用户账号、全局权限
作用:记录允许连接到服务器的用户帐号信息,里面的权限是全局级的。

1.2、db表 :Contains  database-level  privileges 
包含:库级别权限
作用:记录各个帐号在各个数据库上的操作权限。

1.3、host表:Obsolete -----------已废弃 整合进user表中去了
作用:配合db权限表对给定主机上数据库级操作权限作更细致的控制。这个权限表不受GRANT和REVOKE语句的影响。

1.4、tables_priv:Contains  table-level  privileges 
表级别权限
作用:记录数据表级的操作权限。

1.5、columns_priv:Contains  table-level  privileges 
列级别权限
作用:记录数据列级的操作权限。

1.6、procs_priv:contaions stored  procedure  and  function  privileges
存储过程和存储函数相关的权限

1.7、proxies_priv:contains  proxy-user  privileges
代理用户权限(授权将mysql的访问,给某个代理服务来验证)

 

用户账号:‘username‘@‘host‘

    user :用户名

    host : 此用户访问mysqld服务时允许通过哪些主机远程创建连接

       IP 、网络地址、主机名、

       通配符(%和_):

          _: 匹配任意单个字符, 172.16.0.__ 匹配10~99

          % :匹配任意字符

 

mysqld服务器端在验证客服端身份时,它会尝试在每一次客户端创建连接时反解客户端的IP地址为主机名,并根据主机名来检查权限

有时候明明做了授权却没法访问,可能是你根据主机名做了授权,但本机服务器却没法反解对方IP地址到主机名
因此建议 :禁止检查主机名

  /etc/my.cnf  
  [mysqld]
 skip_name_resolve=yes  跳过主机名解析

 

4.1、创建用户账号:

帮助:HLEP CREATE USER; 

语法:


创建用户指定密码(该用户只能连到mysql上,仅能查看,无其它权限):
  CREATE USER [IF NOT EXISTS] ‘username‘@‘host‘ IDENTIFIED BY ‘password‘

e.g

查看有哪些用户:

  mysql> select user,host,authentication_string from mysql.user;

 

MySQL之四  用户和权限管理(DCL)

4.2、删除用户:

帮助:HELP DROP USER;

语法:

DROP USER [IF NOT EXISTS] ‘username1‘@‘host‘,‘username2‘@‘host‘,...;

用户重命名:RENAME USER 

RENAME USER old_user_name TO new_user_name

 4.3、mysql5.7修改密码三种方法

  •   SET PASSWORD FOR
  •   UPDATE mysql.usr SET password=PASSWORD(‘your_password‘)  WHERE clause;
  •   mysqladmin password

注:mysql5.7中 user 表的 password 被 authentication_string 字段所取代

法一:
mysql> alter user root@localhost identified by cy7m0ypu8CpLFperzI45;
法二:
mysql> set password for root@localhost=password(cy7m0ypu8CpLFperzI45);
法三:
mysql> update mysql.user set authentication_string=password(cy7m0ypu8CpLFperzI45) where user=root and Host = localhost;
--此方法最后必须要刷新权限
mysql> flush privileges;

 

4.4、查看授权

   权限级别:管理权限、数据库、表、字段、存储例程

GRANT

帮助: 

  mysql> HELP GRANT;

  mysql> HELP SHOW GRANTS;

查看指定用户获得的权限

  mysql> SHOW  GRANTS FOR  ‘user‘@‘host‘;

查看当前用户所拥有的的权限

  mysql> SHOW GRANTS FOR CURRENT_USER;

 

基本语法:

GRANT priv_type,... ON  [object_type] db_name.tbl_name  TO ‘user‘@‘host‘ [IDENTIFIED BY ‘password‘]

注:object_type与db_name.*  类型要一致

priv_type :ALL [PRIVILEGES]、column_list

object_type: {
  TABLE            # 默认
  | FUNCTION     #存储函数上的权限
  | PROCEDURE    #存储过程上的权限

db_name.tbl_name :
  *.*              :所有库的所有表
  db_name.*           : 指定库的所有表
  db_name.tbl_name      : 指定库的指定表
  db_name.routine_name   :指定库的存储例程

 

REVOKE 回收权限:

帮助信息:

   mysql> HELP REVOKE;

基本语法:  

REVOKE priv_type,... ON db_name.tb_name FROM ‘user‘@‘host‘; 

E.G

mysql> GRANT SELECT,DELETE ON testdb.* TO ‘test‘@‘%‘ IDENTIFIED BY ‘test‘;

mysql> SHOW GRANTS FOR CURRENT_USER;

MySQL之四  用户和权限管理(DCL)

 

mysql> REVOKE DELETE ON testdb.* FROM ‘test‘@‘%‘;

MySQL之四  用户和权限管理(DCL)

 

注:MariaDB服务器进程启动时会读取mysql库中的所有授权表至内存中

  (1)使用GRANT或REVOKE等执行权限操作会保存在表中,MariaDB的服务进程会自动重读授权表;

  (2)对于不能够或不能及时重读授权表的命令,可手动让MariaDB的服务进程重读授权表

      mysql>FLUSH PRIVILEGES;

 

练习题:

  http://www.voidcn.com/article/p-yhqfwlpn-boa.html

 授权test用户通过任意主机连接当前mysqld,但每秒钟最大查询次数不得超过5次;此账户的同时连接次数不得超过3次。

 

忘记管理员密码的解决方法:

http://note.youdao.com/noteshare?id=10023dbc5417120b2e0a75a11eec7ab3&sub=39C5C092FB374788AD42CE82321B2C3B

 



 

 

查询缓存:

  如何判断是否命中:

    • 通过查询语句的哈希值判断:哈希值考虑的因素包括
      • 查询本身、要查询的数据库、客户端使用协议版本,。。。。

      注:  查询语句任何字符上的不同,都会导致缓存不能命中

 

  哪些查询可能不会被缓存

     查询中包含UDF、存储函数、用户自定义变量、临时表、mysql库中系统表、或者包含列级权限的表、有着不确定值的函数now()

内存创建回收,势必会造成内存碎片,必须高效的内存的分配回收算法,尽可能降低内存碎片

 

mysql> SHOW GLOBAL VARIABLES LIKE "%QUERY%"

查询缓存相关的服务器变量:

   query_cache_min_res_unit     查询缓存中内存块最小分配单位

    • 较小值会减少浪费,但会导致更频繁的内存分配操作
    • 较大值会带来浪费,会导致碎片过多

  query_cache_limit   能够缓存的最大查询结果,会影响上面值

      对于有着较大结果的查询语句,建议在SELECT中使用SQL_NO_CACHE

  query_cache_size :查询缓存总共可用的内存空间:单位的字节,必须是1024的整数倍

  query_cache_type :ON、OFF、DEMAND(明确写明SELECT query语句才会被缓存)

  query_cache_wlock_invalidate  :如果某表被其它的连接锁定,是否仍然可以从查询缓存中返回结果

         默认值为OFF,表示可以在表被其它连接锁定的场景中继续从缓存返回数据;ON则表示不允许

1)当查询进行的时候,Mysql把查询结果保存在qurey cache中,但如果要保存的结果比较大,超过query_cache_min_res_unit的值 ,这时候mysql将一边检索结果,一边进行保存结果,所以,有时候并不是把所有结果全部得到后再进行一次性保存,而是每次分配一块 query_cache_min_res_unit 大小的内存空间保存结果集,使用完后,接着再分配一个这样的块,如果还不不够,接着再分配一个块,依此类推,也就是说,有可能在一次查询中,mysql要 进行多次内存分配的操作。
2)内存碎片的产生。当一块分配的内存没有完全使用时,MySQL会把这块内存Trim掉,把没有使用的那部分归还以重 复利用。比如,第一次分配4KB,只用了3KB,剩1KB,第二次连续操作,分配4KB,用了2KB,剩2KB,这两次连续操作共剩下的 1KB+2KB=3KB,不足以做个一个内存单元分配, 这时候,内存碎片便产生了。
3)使用flush query cache,可以消除碎片

4)如果Qcache_free_blocks值过大,可能是query_cache_min_res_unit值过大,应该调小些
5)query_cache_min_res_unit的估计值:(query_cache_size - Qcache_free_memory) / Qcache_queries_in_cache

 

如何判断查询缓存是否高效,以及如何提交查询缓存命中率呢?

  MySQL之四  用户和权限管理(DCL)

 

 

 查询相关的状态变量:

mysql> SHOW status LIKE "%Qcache%";
+-------------------------+---------+
| Variable_name | Value |
+-------------------------+---------+
| Qcache_free_blocks | 1 |              #空闲的内存块(分隔以后能够被缓存 查询结果的内存块)

| Qcache_free_memory | 1031832 |     #仍然空闲的内存空间
| Qcache_hits | 0 |            #
| Qcache_inserts | 0 |            #可缓存查询语句的结果被放入缓存中的次数
| Qcache_lowmem_prunes | 0 |       # 有多少次是因为我们查询缓存空间内存太少,而被不得不利用lLRU算法去清理缓存空间
| Qcache_not_cached | 166 |        #可缓存却没能被缓存的结果
| Qcache_queries_in_cache | 0 |        #当前的缓存空间中,被缓存下来的查询的个数
| Qcache_total_blocks | 1 |            #整个查询缓存一共有多少个内存块(整个内存区段)
+-------------------------+---------+
8 rows in set (0.01 sec)

缓存命中的评估:Qcache_hits /(Qcache_hits +Com_selelct)  仅仅记录mysql执行的查询语句,从缓存中命中的话,值不会增加。

 

# 如果Qcache_lowmem_prunes的值非常大,则表明经常出现缓冲不够的情况;

如果Qcache_hits的值非常大,则表明查询缓冲使用非常频繁,如果该值较小反而会影响效率,那么可以考虑不用查询缓冲; Qcache_free_blocks,如果该值非常大,则表明缓冲区中碎片很多。  “Qcache_free_blocks”:Query Cache 中目前还有多少剩余的blocks。如果该值显示较大,则说明Query Cache 中的内存碎片较多了,可能需要寻找合适的机会进行整理。 ● “Qcache_free_memory”:Query Cache 中目前剩余的内存大小。通过这个参数我们可以较为准确的观察出当前系统中的Query Cache 内存大小是否足够,是需要增加还是过多了; ● “Qcache_hits”:多少次命中。通过这个参数我们可以查看到Query Cache 的基本效果; ● “Qcache_inserts”:多少次未命中然后插入。通过“Qcache_hits”和“Qcache_inserts”两个参数我们就可以算出Query Cache 的命中率了: Query Cache 命中率
= Qcache_hits / ( Qcache_hits + Qcache_inserts ); ● “Qcache_lowmem_prunes”:多少条Query 因为内存不足而被清除出Query Cache。通过“Qcache_lowmem_prunes”和“Qcache_free_memory”相互结合,能够更清楚的了解到我们系统中Query Cache 的内存大小是否真的足够,是否非常频繁的出现因为内存不足而有Query 被换出 ● “Qcache_not_cached”:因为query_cache_type 的设置或者不能被cache 的Query 的数量; ● “Qcache_queries_in_cache”:当前Query Cache 中cache 的Query 数量;

 

二、监控缓存命中率


通过Nagios+pnp4nagios来监控缓存命中率,并通过图表来展示。


1、监控脚本: check_mysql_qch.sh.sh



#!/bin/bash

#function:查询缓存命中率

#time:20121130

#author:system group

while getopts ":w:c:h" optname

do

case "$optname" in

"w")

WARN=$OPTARG

;;

"c")

CIRT=$OPTARG

;;

"h")

echo "Useage: check_mysql_qch.sh -w warn -c cirt"

exit

;;

"?")

echo "Unknown option $OPTARG"

exit

;;

":")

echo "No argument value for option $OPTARG"

exit

;;

*)

# Should not occur

echo "Unknown error while processing options"

exit

;;

esac

done

[ $? -ne 0 ] && echo "error: Unknown option " && exit

[ -z $WARN ] && WARN=60

[ -z $CIRT ] && CIRT=50

export selete=`/usr/local/mysql/bin/mysql -h 127.0.0.1 -uroot -Bse "SHOW GLOBAL STATUS LIKE ‘Com_select‘;" |awk {print $2}`

export hits=`/usr/local/mysql/bin/mysql -h 127.0.0.1 -uroot -Bse "SHOW GLOBAL STATUS LIKE ‘Qcache_hits‘;" |awk {print $2}`

a=$(($selete+$hits))

#rw_ratio=$(($a/$b))

#echo "rw_ratio=$rw_ratio"

#ratio=$(($rw_ratio*100))

#echo "ratio=$ratio"

if [ $a -ne "0" ];then

percent=`awk BEGIN{printf "%.2f%\n",($hits/$a)*100}`

Qch=`awk BEGIN{printf ($hits/$a)*100}`

fi

C=`echo "$Qch < $CIRT" | bc`

W=`echo "$Qch < $WARN" | bc`

O=`echo "$Qch > $WARN" | bc`

if [ $C == 1 ];then

echo -e "CIRT - Mysql Qcache Hits is $percent,Com_select is $selete,Qcache_hits is $hits|Qcache_hits=${Qch}%;${selete};${hits};0"

exit 2

fi

if [ $W == 1 ];then

echo -e "WARN - Mysql Qcache Hits is $percent,Com_select is $selete,Qcache_hits is $hits|Qcache_hits=${Qch}%;${selete};${hits};0"

exit 1

fi

if [ $O == 1 ];then

echo -e "OK - Mysql Qcache Hits is $percent,Com_select is $selete,Qcache_hits is $hits|Qcache_hits=${Qch}%;${selete};${hits};0"

exit 0

fi


2、生成报表

Pnp4nagios templates:check_mysql_qch.php 



<?php

#

# Copyright (c) 2006-2010 system (http://www.cnfol.com)

# Plugin: check_mysql_qch

#

$opt[1] = "--vertical-label hits/s -l0 --title \"Mysql Qcache Hits for $hostname / $servicedesc\" ";

#

#

#

$def[1] = rrd::def("var1", $RRDFILE[1], $DS[1], "AVERAGE");

if ($WARN[1] != "") {

    $def[1] .= "HRULE:$WARN[1]#FFFF00 ";

}

if ($CRIT[1] != "") {

    $def[1] .= "HRULE:$CRIT[1]#FF0000 ";

}

$def[1] .= rrd::area("var1", "#0000FF", "Mysql Qcache Hits percent") ;

$def[1] .= rrd::gprint("var1", array("LAST", "AVERAGE", "MAX"), "%6.2lf");

?>

 

MySQL之四 用户和权限管理(DCL)

上一篇:Error querying database. Cause: java.sql.SQLException: [Microsoft][SQLServer 2000 Driver for JDBC][SQLServer]'@P1' 附近有语法错误。


下一篇:SQLite数据库“Database is locked”解决办法