MySQL 限制用户访问 information_schema

在 MySQL 中，information_schema 数据库包含了关于数据库的元数据信息。这些信息对于系统管理员和数据库开发人员来说非常重要，但是如果用户可以访问这些信息，那么他们可能会发现数据库中的所有表和列的详细信息，包括敏感数据，这会给数据库的安全带来风险。因此，我们需要限制用户对 information_schema 数据库的访问权限。在本篇文章中，我们将探讨如何限制 MySQL 用户访问 information_schema 数据库。

阅读更多：MySQL 教程

用户和权限

在 MySQL 中，有两个基本概念：用户和权限。用户是可以访问 MySQL 服务器的个体，而权限则是授予用户完成特定操作的权限。这种模型使得 MySQL 具有高度的可定制性和安全性。

关于 information_schema

information_schema 是 MySQL 中一个特殊的数据库，它提供了与数据库相关的元数据信息。元数据是描述数据的数据，通常包括表、列、索引、外键和触发器等信息。information_schema 中不存储实际的用户数据，但存储有关数据库和表的结构和状态信息。MySQL 中的一些系统函数和存储过程会访问该数据库以检索信息。

限制用户访问权限

MySQL 在默认情况下允许所有用户访问 information_schema。但是，在生产环境下，我们通常需要限制用户访问这个数据库。MySQL 提供了多种方法来限制用户访问 information_schema 数据库。

1. 使用 MySQL 权限

MySQL 中的 GRANT 和 REVOKE 命令可以帮助我们限制用户访问特定的数据库或表。例如，如果我们要禁止某个用户访问 information_schema 数据库，我们可以使用以下命令：

REVOKE ALL PRIVILEGES ON information_schema.* FROM 'user'@'localhost';

这个命令会删除该用户在 information_schema 数据库中的所有权限。

2. 创建新用户

我们可以创建一个新用户，并只授予其访问特定数据库或表的权限。例如，我们可以使用以下命令创建一个新用户，并只允许其访问 test 数据库：

CREATE USER 'newuser'@'localhost' IDENTIFIED BY 'password';
GRANT ALL PRIVILEGES ON test.* TO 'newuser'@'localhost';

这个命令将为用户 newuser 创建一个新的帐户，并授予其访问 test 数据库的所有权限。这个用户将无法访问 information_schema 数据库。

3. 更改 MySQL 配置文件

我们可以更改 MySQL 配置文件（my.cnf），以限制用户访问信息架构。我们可以设置 SQL 模式变量，以允许特定的操作，而不允许所有其他操作。例如，我们可以使用以下命令将 sql_mode 设置为 “TRADITIONAL, NO_AUTO_CREATE_USER, STRICT_TRANS_TABLES”:

SET GLOBAL sql_mode = 'TRADITIONAL, NO_AUTO_CREATE_USER, STRICT_TRANS_TABLES';

这个命令将禁用许多功能，特别是那些不遵循 ANSI 标准的功能。这将有助于防止一些攻击，同时允许我们进行基本操作，如插入数据，但禁止 SELECT information_schema 数据库。

4. 配置 MySQL 视图

我们可以使用 MySQL 视图来限制用户对 information_schema 数据库的访问。视图是虚拟表，其结构基于基础表。我们可以在视图上设置特定的 SELECT 权限，然后将其授予用户。例如，我们可以使用以下命令创建一个名为 test_view 的视图，并授予 user 用户 SELECT 权限：

CREATE VIEW test_view AS
SELECT column_name FROM information_schema.columns WHERE table_name = 'test';
GRANT SELECT ON test_view TO 'user'@'localhost';

此命令将允许用户 user 访问 test_view 视图，但不允许访问 information_schema 数据库。

5. 使用防火墙或网络安全设备

防火墙或网络安全设备可以限制特定 IP 地址或主机名访问 MySQL 服务器上的特定端口。通过限制来自未经授权的主机的访问，我们可以提高数据库的安全性。可以使用 iptables 实用程序或基于 IP 的访问控制列表 (ACL) 进行此限制。

# 例如，使用 iptables 阻止所有访问 MySQL 服务器上的3306端口，除了192.168.0.0/24网络中的主机。
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -m state --state NEW -m tcp -p\
tcp --dport 3306 -j ACCEPT

测试限制

为确保我们设置了正确的限制，我们可以测试特定用户是否有权访问 information_schema 数据库。我们可以使用以下命令测试 user 用户是否可以访问 information_schema 数据库：

SHOW GRANTS FOR 'user'@'localhost';

如果该用户未被授予访问 information_schema 数据库的权限，则将返回空结果集。否则，它会在结果集中显示该用户被授予的权限。

总结

限制用户对 MySQL 的 information_schema 数据库的访问可以提高数据库的安全性。通过使用 GRANT 和 REVOKE 命令、创建新用户、更改 MySQL 配置文件、配置 MySQL 视图和使用防火墙或网络安全设备，我们可以限制用户对信息架构的访问权限。

重要的是要记住，我们需要根据实际需求来选择合适的限制方法。限制用户访问权限可能会影响某些应用程序或数据库工具的功能，因此我们需要在设置限制之前仔细考虑这些影响。