详解MySQL的用户密码过期功能
PaymentCardIndustry,即支付卡行业,PCI行业表示借记卡、信用卡、预付卡、电子钱包、ATM和POS卡及相关的业务。
PCIDSS,即PCI数据安全标准(PaymentCardIndustryDataSecurityStandard)是由PCI安全标准委员会制定,旨在使国际上采用一致的数据安全措施。
PCIDSS标准要求用户每隔90天必须更改他们的密码。那么MySQL数据库该怎样适应这个情况?幸运的是,在MySQL版本5.6.6版本起,添加了password_expired功能,它允许设置用户的过期时间。
这个特性已经添加到mysql.user数据表,但是它的默认值是”N”。可以使用ALTERUSER语句来修改这个值。
下面是关于如何设置MySQL用户账号的到期日期一个简单例子:
mysql>ALTERUSER'testuser'@'localhost'PASSWORDEXPIRE;
一旦某个用户的这个选项设置为”Y”,那么这个用户还是可以登陆到MySQL服务器,但是在用户未设置新密码之前不能运行任何查询语句,而且会得到如下错误消息提示:
mysql>SHOWDATABASES; ERROR1820(HY000):YoumustSETPASSWORDbeforeexecutingthisstatement Keepinmindthatthisdoesnotaffectanycurrentconnectionstheaccounthasopen.
当用户设置了新密码后,此用户的所有操作(根据用户自身的权限)会被允许执行:
mysql>SETPASSWORD=PASSWORD('mechipoderranen'); QueryOK,0rowsaffected(0.00sec) mysql>SHOWDATABASES; +--------------------+ |Database| +--------------------+ |information_schema| |data| |logs| |mysql| |performance_schema| |test| +--------------------+ 6rowsinset(0.00sec) mysql>
DBA可以通过cron定时器任务来设置MySQL用户的密码过期时间。
从MySQL5.7.4版开始,用户的密码过期时间这个特性得以改进,可以通过一个全局变量default_password_lifetime来设置密码过期的策略,此全局变量可以设置一个全局的自动密码过期策略。
用法示例:
可以在MySQL的配置文件中设置一个默认值,这会使得所有MySQL用户的密码过期时间都为90天,MySQL会从启动时开始计算时间。my.cnf配置如下:
[mysqld] default_password_lifetime=90
如果要设置密码永不过期的全局策略,可以这样:(注意这是默认值,配置文件中可以不声明)
[mysqld] default_password_lifetime=0
在MySQL运行时可以使用超级权限修改此配置:
mysql>SETGLOBALdefault_password_lifetime=90; QueryOK,0rowsaffected(0.00sec)
还可以使用ALTERUSER命令为每个具体的用户账户单独设置特定的值,它会自动覆盖密码过期的全局策略。要注意ALTERUSER语句的INTERVAL的单位是“天”。
ALTERUSER‘testuser'@‘localhost'PASSWORDEXPIREINTERVAL30DAY;
禁用密码过期:
ALTERUSER'testuser'@'localhost'PASSWORDEXPIRENEVER;
让用户使用默认的密码过期全局策略:
ALTERUSER'testuser'@'localhost'PASSWORDEXPIREDEFAULT;
从MySQL5.7.6版开始,还可以使用ALTERUSER语句修改用户的密码:
mysql>ALTERUSERUSER()IDENTIFIEDBY'637h1m27h36r33K'; QueryOK,0rowsaffected(0.00sec)
后记
在MySQL5.7.8版开始用户管理方面添加了锁定/解锁用户账户的新特性,relatedtousermanagementislocking/unlockinguseraccountswhenCREATEUSER,oratalatertimerunningtheALTERUSERstatement.
下面创建一个带账户锁的用户:
mysql>CREATEUSER'furrywall'@'localhost'IDENTIFIEDBY'71m32ch4n6317'ACCOUNTLOCK; QueryOK,0rowsaffected(0.00sec)
如下所示,新创建的用户在尝试登陆时会得到一个ERROR3118错误消息提示:
$mysql-ufurrywall-p Enterpassword: ERROR3118(HY000):Accessdeniedforuser'furrywall'@'localhost'.Accountislocked.
此时就需要使用ALTERUSER…ACCOUNTUNLOCK语句进行解锁了:
mysql>ALTERUSER'furrywall'@'localhost'ACCOUNTUNLOCK; QueryOK,0rowsaffected(0.00sec)
现在,这个用户已经解锁,可以登陆了:
$mysql-ufurrywall-p Enterpassword: WelcometotheMySQLmonitor.Commandsendwith;org. YourMySQLconnectionidis17 Serverversion:5.7.8-rcMySQLCommunityServer(GPL) Copyright(c)2000,2015,Oracleand/oritsaffiliates.Allrightsreserved. OracleisaregisteredtrademarkofOracleCorporationand/orits affiliates.Othernamesmaybetrademarksoftheirrespective owners. Type'help;'or'h'forhelp.Type'c'toclearthecurrentinputstatement. mysql>
还可以这样锁定用户账户:
mysql>ALTERUSER'furrywall'@'localhost'ACCOUNTLOCK; QueryOK,0rowsaffected(0.00sec)
以上就是为大家介绍的MySQL的用户密码过期功能的相关内容,希望对大家的学习有所帮助。