mysql密码过期怎么改(年底了,你的mysql密码安全吗)
mysql密码过期怎么改
年底了,你的mysql密码安全吗前言:
年底了,你的数据库是不是该巡检了?一般巡检都会关心密码安全问题,比如密码复杂度设置,是否有定期修改等。特别是进行等保评测时,评测机构会要求具备密码安全策略。其实 MySQL 系统本身可以设置密码复杂度及自动过期策略的,可能比较少用,大多数同学并未详细去了解。本篇文章我们一起来学习下如何设置数据库账号密码复杂度及自动过期策略。
1.密码复杂度策略设置
MySQL 系统自带有 validate_password 插件,此插件可以验证密码强度,未达到规定强度的密码则不允许被设置。MySQL 5.7 及 8.0 版本默认情况下貌似都不启用该插件,这也使得我们可以随意设置密码,比如设置为 123、123456等。如果我们想从根源上规范密码强度,可以启用该插件,下面一起来看下如何通过此插件来设置密码复杂度策略。
1)查看是否已安装此插件
进入 MySQL 命令行,通过 show plugins 或者查看 validate_password 相关参数可以判断是否已安装此插件。若没有相关参数则代表未安装此插件
|
|
# 安装前检查 为空则说明未安装此插件mysql> show variables like 'validate%';Empty set (0.00 sec) |
2)安装 validate_password 插件
|
|
# 通过 INSTALL PLUGIN 命令可安装此插件# 每个平台的文件名后缀都不同 对于 Unix 和类 Unix 系统,为.so,对于 Windows 为.dllmysql> INSTALL PLUGIN validate_password SONAME 'validate_password.so';Query OK, 0 rows affected, 1 warning (0.28 sec)# 查看 validate_password 相关参数mysql> show variables like 'validate%';+--------------------------------------+--------+| Variable_name | Value |+--------------------------------------+--------+| validate_password_check_user_name | ON || validate_password_dictionary_file | || validate_password_length | 8 || validate_password_mixed_case_count | 1 || validate_password_number_count | 1 || validate_password_policy | MEDIUM || validate_password_special_char_count | 1 |+--------------------------------------+--------+7 rows in set (0.00 sec) |
3)密码强度相关参数解释
安装 validate_password 插件后,多了一些密码强度相关参数,这些参数从字面意思上也很容易看懂,下面简单解释下几个重点参数。
1、validate_password_policy
代表的密码策略,默认是MEDIUM 可配置的值有以下:
- 0 or LOW 仅需需符合密码长度(由参数validate_password_length指定)
- 1 or MEDIUM 满足LOW策略,同时还需满足至少有1个数字,小写字母,大写字母和特殊字符
- 2 or STRONG 满足MEDIUM策略,同时密码不能存在字典文件(dictionary file)中
2、validate_password_dictionary_file
用于配置密码的字典文件,当validate_password_policy设置为STRONG时可以配置密码字典文件,字典文件中存在的密码不得使用。
3、validate_password_length
用来设置密码的最小长度,默认值是8
4、validate_password_mixed_case_count
当validate_password_policy设置为MEDIUM或者STRONG时,密码中至少同时拥有的小写和大写字母的数量,默认是1最小是0;默认是至少拥有一个小写和一个大写字母。
5、validate_password_number_count
当validate_password_policy设置为MEDIUM或者STRONG时,密码中至少拥有的数字的个数,默认1最小是0
6、validate_password_special_char_count
当validate_password_policy设置为MEDIUM或者STRONG时,密码中至少拥有的特殊字符的个数,默认1最小是0
4)密码复杂度策略具体设置
学习完以上参数,我们就可以根据自身情况来具体设置密码复杂度策略了,比如我想让密码至少 10 位且包含大小写字母、数字、特殊字符,则可以这样设置。
5)测试密码复杂度
密码复杂度策略只对生效后的操作有效,比如说你之前有个账号,密码是 123 ,则该账号还是可以继续使用的,不过若再次更改密码则需满足复杂度策略。下面我们来测试下密码复杂度策略的具体效果。
|
|
# 新建用户设置密码mysql> create user 'testuser'@'%' identified by '123';ERROR 1819 (HY000): Your password does not satisfy the current policy requirementsmysql> create user 'testuser'@'%' identified by 'ab123';ERROR 1819 (HY000): Your password does not satisfy the current policy requirementsmysql> create user 'testuser'@'%' identified by 'Ab@123';ERROR 1819 (HY000): Your password does not satisfy the current policy requirementsmysql> create user 'testuser'@'%' identified by 'Bsdf@5467672';Query OK, 0 rows affected (0.01 sec)# 更改密码mysql> alter user 'testuser'@'%' identified by 'dfgf3435';ERROR 1819 (HY000): Your password does not satisfy the current policy requirementsmysql> alter user 'testuser'@'%' identified by 'dBsdf@5467672';Query OK, 0 rows affected (0.01 sec) |
2.设置密码自动过期
除了设置密码复杂度策略外,我们还可以设置密码自动过期,比如说隔 90 天密码会过期必须修改密码后才能继续使用,这样我们的数据库账号就更加安全了。下面我们来看下如何设置密码自动过期。
单独设置某个账号密码过期时间
使用 ALTER USER 语句可以使单个账号密码过期,也可以更改账号过期时间。
|
|
# 通过 mysql.user 系统表查看数据库账号状态mysql> select user,host,password_expired,password_lifetime,password_last_changed,account_locked from mysql.user;+------------------+-----------+------------------+-------------------+-----------------------+----------------+| user | host | password_expired | password_lifetime | password_last_changed | account_locked |+------------------+-----------+------------------+-------------------+-----------------------+----------------+| expuser | % | N | NULL | 2021-01-05 14:30:30 | N || root | % | N | NULL | 2020-10-30 14:45:43 | N || testuser | % | N | NULL | 2021-01-04 17:22:37 | N || mysql.infoschema | localhost | N | NULL | 2020-10-30 14:37:09 | Y || mysql.session | localhost | N | NULL | 2020-10-30 14:37:09 | Y || mysql.sys | localhost | N | NULL | 2020-10-30 14:37:09 | Y || root | localhost | N | NULL | 2020-10-30 14:38:55 | N |+------------------+-----------+------------------+-------------------+-----------------------+----------------+7 rows in set (0.01 sec)# 使 expuser 账号密码立即过期mysql> ALTER USER 'expuser'@'%' PASSWORD EXPIRE;Query OK, 0 rows affected (0.00 sec)mysql> select user,host,password_expired,password_lifetime,password_last_changed,account_locked from mysql.user;+------------------+-----------+------------------+-------------------+-----------------------+----------------+| user | host | password_expired | password_lifetime | password_last_changed | account_locked |+------------------+-----------+------------------+-------------------+-----------------------+----------------+| expuser | % | Y | NULL | 2021-01-05 14:30:30 | N || root | % | N | NULL | 2020-10-30 14:45:43 | N || testuser | % | N | NULL | 2021-01-04 17:22:37 | N || mysql.infoschema | localhost | N | NULL | 2020-10-30 14:37:09 | Y || mysql.session | localhost | N | NULL | 2020-10-30 14:37:09 | Y || mysql.sys | localhost | N | NULL | 2020-10-30 14:37:09 | Y || root | localhost | N | NULL | 2020-10-30 14:38:55 | N |+------------------+-----------+------------------+-------------------+-----------------------+----------------+7 rows in set (0.00 sec)# 修改账号密码永不过期mysql> ALTER USER 'expuser'@'%' PASSWORD EXPIRE NEVER;Query OK, 0 rows affected (0.01 sec)# 单独设置该账号密码90天过期mysql> ALTER USER 'expuser'@'%' PASSWORD EXPIRE INTERVAL 90 DAY;Query OK, 0 rows affected (0.00 sec)mysql> select user,host,password_expired,password_lifetime,password_last_changed,account_locked from mysql.user;+------------------+-----------+------------------+-------------------+-----------------------+----------------+| user | host | password_expired | password_lifetime | password_last_changed | account_locked |+------------------+-----------+------------------+-------------------+-----------------------+----------------+| expuser | % | N | 90 | 2021-01-05 14:41:28 | N || root | % | N | NULL | 2020-10-30 14:45:43 | N || testuser | % | N | NULL | 2021-01-04 17:22:37 | N || mysql.infoschema | localhost | N | NULL | 2020-10-30 14:37:09 | Y || mysql.session | localhost | N | NULL | 2020-10-30 14:37:09 | Y || mysql.sys | localhost | N | NULL | 2020-10-30 14:37:09 | Y || root | localhost | N | NULL | 2020-10-30 14:38:55 | N |+------------------+-----------+------------------+-------------------+-----------------------+----------------+7 rows in set (0.00 sec)# 让此账号使用默认的密码过期全局策略mysql> ALTER USER 'expuser'@'%' PASSWORD EXPIRE DEFAULT;Query OK, 0 rows affected (0.01 sec) |
mysql.user 系统表记录着每个账号的相关信息,当 password_expired 字段值为 Y 时,代表此密码已过期,使用过期密码仍可以登录,但不能进行任何操作,进行操作会提示:ERROR 1820 (HY000): You must reset your password using ALTER USER statement before executing this statement. 必须更改密码后才能进行正常操作。
对于给定过期时间的账号,比如说设置 90 天过期,数据库系统会比较当前时间与上次修改密码的时间差值,如果距离上次修改密码时间超过 90 天,则将此账号密码标记为过期,必须更改密码后才能进行操作。
设置全局过期策略
要构建全局密码自动过期策略,请使用 default_password_lifetime 系统变量。在 5.7.11 版本之前,默认的 default_password_lifetime 值为 360(密码大约每年必须更改一次),之后的版本默认值为 0,表示密码不会过期。此参数的单位是天,比如我们可以将此参数设置为 90 ,则表示全局密码自动过期策略是 90 天。
|
|
# 设置全局过期策略 先手动更改再加入配置文件mysql> SET GLOBAL default_password_lifetime = 90;Query OK, 0 rows affected (0.01 sec)mysql> show variables like 'default_password_lifetime';+---------------------------+-------+| Variable_name | Value |+---------------------------+-------+| default_password_lifetime | 90 |+---------------------------+-------+1 row in set (0.00 sec)# 写入配置文件使得重启生效[mysqld]default_password_lifetime = 90 |
尽管可以通过将过期的密码设置为当前值来“重置”它,但出于良好的 Policy 考虑,最好选择其他密码。
总结:
本篇文章主要介绍了关于数据库密码的两项安全策略,密码复杂度加上密码过期策略,多一份策略多一份安心。要记住:安全无小事。
以上就是年底了,你的mysql密码安全吗的详细内容,更多关于mysql 密码安全的资料请关注开心学习网其它相关文章!
原文链接:https://mp.weixin.qq.com/s/8C50U5lPYtRYG4fU3p-JSw
- php考试复习题(php+mysql开发的最简单在线题库在线做题系统完整案例)
- mysql8.0.16安装步骤图解(mysql 8.0.22 安装配置图文教程)
- docker 镜像mysql(解决docker拉取mysql镜像太慢的情况)
- idea配置mysql最大连接数(IDEA连接不上MySQL端口号占用的解决)
- navicatformysql怎么激活(一文读懂navicat for mysql基础知识)
- mysql中查询数据合并(Mysql合并结果接横向拼接字段的实现步骤)
- mysql创建数据库教程(MySQL创建数据库并支持中文字符的操作方法)
- oracle如何用脚本文件创建表空间(MySQL版oracle下scott用户建表语句实例)
- mysqlupdate原理(MySQL UPDATE 语句的非标准实现代码)
- mysql连接查询原理(MySQL连接查询你真的学会了吗?)
- mysql索引优化技巧(MySQL如何优化索引)
- mysqldump 命令详解(mysqldump你可能不知道的参数)
- mysql索引失效的几种情况(Mysql 5.6 "隐式转换"导致的索引失效和数据不准确的问题)
- mysql使用步骤(聊一聊MySQL角色Role功能)
- mysql索引失效原因(MySQL索引失效的几种情况详析)
- mysql 索引怎么实现(Mysql中索引和约束的示例语句)
- 鲢鳙钓底还是钓浮 流水的水域应怎样做钓(鲢鳙钓底还是钓浮)
- 入秋后的第二场苹果发布会来了 全新M1系列芯片登场(入秋后的第二场苹果发布会来了)
- 苹果正式发布自研芯片M1 5nm 32核心 彻底放弃Intel(苹果正式发布自研芯片M1)
- 苹果自研芯片跑分对比 A16芯片排名靠后,M1系列霸榜(苹果自研芯片跑分对比)
- X86处理器的梦魇 苹果M1自研芯片到底有多强(苹果M1自研芯片到底有多强)
- 泰剧《爱欲之神》Boom kitkong和Great合体杂志(泰剧爱欲之神Boomkitkong和Great合体杂志)
热门推荐
- 云服务器如何选供应商(如何选择云服务器运营商?)
- dedecms列表分页代码(Dedecms文章设置推荐后列表页标题自动加粗的解决方法)
- mysql拼接和过滤(mysql 如何动态修改复制过滤器)
- python元组操作方法(Python元组常见操作示例)
- dede标签调用方法(DEDE热门tag,DEDE首页digg,DEDE随机热门关键字调用方法)
- dedecms替换条件(dedecms制作英文站需要修改的地方)
- idea配合tomcat进行web开发(IDEA2021 tomcat10 servlet 较新版本踩坑问题)
- nginx和lua哪个好(nginx+lua单机上万并发的实现)
- mysql添加注释视图(mysql创建表添加字段注释的实现方法)
- angular 常用模块(详解Angular之路由基础)
排行榜
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9