首先,需要了解来访主机。
由于 MySQL 数据库登录验证用户的时候是出了用户名和密码之外,还要验证来源主机。所以我们还需要了解每个用户可能从哪些主机发起连接。当然,我们也可以通过授权的时候直接通过“%”通配符来给所有主机都有访问的权限,但是这样作就违背了我们安全策略的原则,带来了潜在风险,所以并不可取。尤其是在没有局域网的防火墙保护的情况下,更是不能轻易允许可以从任何主机登录的用户存在。能通过具体主机名或者 IP 地址指定的尽量通过使用具体的主机名和 IP 地址来限定来访主机,不能用具体的主机名或者 IP 地址限定的也需要用尽可能小的通配范围来限定。
其次,了解用户需求。
既然是要做到仅授予必要的权限,那么我们必须了解每个用户所担当的角色,也就是说,我们需要充分了解每个用户需要连接到数据库上完成什么工作。了解该用户是一个只读应用的用户,还是一个读写都有的帐户;是一个备份作业的用户还是一个日常管理的帐户;是只需要访问特定的某个(或者某几个)数据库(Schema),还是需要访问所有的数据库。只有了解了需要做什么,才能准确的了解需要授予什么样的权限。因为如果权限过低,会造成工作无法正常完成,而权限过高,则存在潜在的安全风险。
再次,要为工作分类。
为了做到各司其职,我们需要将需要做的工作分门别类,不同类别的工作使用不同的用户,做好用户分离。虽然这样可能会带来管理成本方面的部分工作量增加,但是基于安全方面的考虑,这部分管理工作量的增加是非常值得的。而且我们所需要做的用户分离也只是一个适度的分离。比如将执行备份工作、复制工作、常规应用访问、只读应用访问和日常管理工作分别分理出单独的特定帐户来授予各自所需权限。这样,既可以让安全风险尽量降低,也可以让同类同级别的相似权限合并在一起,不互相交织在一起。对于 PROCESS,FILE 和SUPER 这样的特殊权限,仅仅只有管理类帐号才需要,不应该授予其他非管理帐号。
最后,确保只有绝对必要者拥有 GRANT OPTION 权限。
之前在权限系统介绍的时候我们已经了解到 GRANT OPTION 权限的特殊性,和拥有该权限之后的潜在风险,所以在这里也就不再累述了。总之,为了安全考虑,拥有 GRANT OPTION权限的用户越少越好,尽可能只让拥有超级权限的用户才拥有 GRANT OPTION 权限。