MySQL的用户密码过期功能
Payment Card Industry,即支付卡行业,PCI行业表示借记卡、信用卡、预付卡、电子钱包、ATM和POS卡及相关的业务。
PCI DSS,即PCI数据安全标准(Payment Card Industry Data Security Standard)是由PCI安全标准委员会制定,旨在使国际上采用一致的数据安全措施。
PCI DSS标准要求用户每隔90天必须更改他们的密码。那么MySQL数据库该怎样适应这个情况?幸运的是,在MySQL版本5.6.6版本起,添加了password_expired功能,它允许设置用户的过期时间。
这个特性已经添加到mysql.user数据表,但是它的默认值是”N”。可以使用ALTER USER语句来修改这个值。
下面是关于如何设置MySQL用户账号的到期日期一个简单例子:
1
|
mysql> ALTER USER 'testuser' @ 'localhost' PASSWORD EXPIRE; |
一旦某个用户的这个选项设置为”Y”,那么这个用户还是可以登陆到MySQL服务器,但是在用户未设置新密码之前不能运行任何查询语句,而且会得到如下错误消息提示:
1
2
3
|
mysql> SHOW DATABASES; ERROR 1820 (HY000): You must SET PASSWORD before executing this statement Keep in mind that this does not affect any current connections the account has open . |
当用户设置了新密码后,此用户的所有操作(根据用户自身的权限)会被允许执行:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
mysql> SET PASSWORD = PASSWORD ( 'mechipoderranen' ); Query OK, 0 rows affected (0.00 sec) mysql> SHOW DATABASES; + --------------------+ | Database | + --------------------+ | information_schema | | data | | logs | | mysql | | performance_schema | | test | + --------------------+ 6 rows in set (0.00 sec) mysql> |
DBA可以通过cron定时器任务来设置MySQL用户的密码过期时间。
从MySQL 5.7.4版开始,用户的密码过期时间这个特性得以改进,可以通过一个全局变量default_password_lifetime来设置密码过期的策略,此全局变量可以设置一个全局的自动密码过期策略。
用法示例:
可以在MySQL的配置文件中设置一个默认值,这会使得所有MySQL用户的密码过期时间都为90天,MySQL会从启动时开始计算时间。my.cnf配置如下:
1
2
|
[mysqld] default_password_lifetime=90 |
如果要设置密码永不过期的全局策略,可以这样:(注意这是默认值,配置文件中可以不声明)
1
2
|
[mysqld] default_password_lifetime=0 |
在MySQL运行时可以使用超级权限修改此配置:
1
2
|
mysql> SET GLOBAL default_password_lifetime = 90; Query OK, 0 rows affected (0.00 sec) |
还可以使用ALTER USER命令为每个具体的用户账户单独设置特定的值,它会自动覆盖密码过期的全局策略。要注意ALTER USER语句的INTERVAL的单位是“天”。
1
|
ALTER USER ‘testuser '@‘localhost' PASSWORD EXPIRE INTERVAL 30 DAY ; |
禁用密码过期:
1
|
ALTER USER 'testuser' @ 'localhost' PASSWORD EXPIRE NEVER; |
让用户使用默认的密码过期全局策略:
1
|
ALTER USER 'testuser' @ 'localhost' PASSWORD EXPIRE DEFAULT ; |
从MySQL 5.7.6版开始,还可以使用ALTER USER语句修改用户的密码:
1
2
|
mysql> ALTER USER USER () IDENTIFIED BY '637h1m27h36r33K' ; Query OK, 0 rows affected (0.00 sec) |
后记
在MySQL 5.7.8版开始用户管理方面添加了锁定/解锁用户账户的新特性, related to user management is locking/unlocking user accounts when CREATE USER, or at a later time running the ALTER USER statement.
下面创建一个带账户锁的用户:
1
2
|
mysql> CREATE USER 'furrywall' @ 'localhost' IDENTIFIED BY '71m32ch4n6317' ACCOUNT LOCK; Query OK, 0 rows affected ( 0.00 sec) |
如下所示,新创建的用户在尝试登陆时会得到一个ERROR 3118错误消息提示:
1
2
3
|
$ mysql -ufurrywall -p Enter password: ERROR 3118 (HY000): Access denied for user 'furrywall' @ 'localhost' . Account is locked. |
此时就需要使用ALTER USER … ACCOUNT UNLOCK语句进行解锁了:
1
2
|
mysql>ALTER USER 'furrywall' @ 'localhost' ACCOUNT UNLOCK; Query OK, 0 rows affected ( 0.00 sec) |
现在,这个用户已经解锁,可以登陆了:
1
2
3
4
5
6
7
8
9
10
11
|
$ mysql -ufurrywall -p Enter password: Welcome to the MySQL monitor. Commands end with ; or g. Your MySQL connection id is 17 Server version: 5.7 . 8 -rc MySQL Community Server (GPL) Copyright (c) 2000 , 2015 , Oracle and/or its affiliates. All rights reserved. Oracle is a registered trademark of Oracle Corporation and/or its affiliates. Other names may be trademarks of their respective owners. Type 'help;' or 'h' for help. Type 'c' to clear the current input statement. mysql> |
还可以这样锁定用户账户:
1
2
|
mysql> ALTER USER 'furrywall' @ 'localhost' ACCOUNT LOCK; Query OK, 0 rows affected ( 0.00 sec) |
以上就是为大家介绍的MySQL的用户密码过期功能的相关内容,希望对大家的学习有所帮助。
MySQL的用户密码过期功能的更多相关文章
- 详解MySQL的用户密码过期功能
这篇文章主要为大家详细介绍了MySQL的用户密码过期功能的相关资料,需要的朋友可以参考下 Payment Card Industry,即支付卡行业,PCI行业表示借记卡.信用卡.预付卡.电子钱包. ...
- MySQL的用户密码过期功能详解
MySQL的用户密码过期功能详解 作者:chszs,未经博主允许不得转载.经许可的转载需注明作者和博客主页:http://blog.csdn.net/chszs 先说明两个术语. Payment Ca ...
- MySQL用户密码过期登陆报错ERROR 1820 (HY000): You must reset your password using ALTER USER statement before executing this statement.
今天接到主从复制失败告警,查看MySQL,发现MySQL能够登陆但是执行命令报错, ERROR 1820 (HY000): You must reset your password using ALT ...
- Oracle用户密码过期问题解决
一.用户密码即将过期,导致autotrace无法打开 如果用户密码即将过期,在登录数据库时会收到如下提示: ERROR: ORA-2800 ...
- 为VisualSVN Server增加在线修改用户密码的功能
原文:为VisualSVN Server增加在线修改用户密码的功能 附件下载:点击下载 VisualSVN Server是一个非常不错的SVN Server程序,方便,直观,用户管理也异常方便. 不过 ...
- Oracle用户密码过期和用户被锁解决方法【转】
[原因/触发因素] 确定是由于Oracle11g中默认在default概要文件中设置了“PASSWORD_LIFE_TIME=180天”所导致. [影响和风险] 影响 密码过期后,业务进程连接数据库异 ...
- linux用户密码过期导致命令执行失败
背景介绍: 使用zabbix调用系统命令,检查时间同步,发现一直在报错,root 用户执行无异常,问题还是出现zabbix用户上面. [zabbix@test-10-12 ~]$ sudo ntpda ...
- oracle用户密码过期!the password has expired
Oracle提示错误消息ORA-28001: the password has expired,是由于Oracle11G的新特性所致, Oracle11G创建用户时缺省密码过期限制是180天(即6个月 ...
- Oracle用户密码过期和用户被锁解决方法
[原因/触发因素] 确定是由于oracle11g中默认在default概要文件中设置了"PASSWORD_LIFE_TIME=180天"所导致. [影响和风险] 影响 密码过 ...
随机推荐
- mac sz rz file tras
安装Zmodem的实现 brew install lrzsz 下载 iterm2-send-zmodem.sh 和 iterm2-recv-zmodem.sh 到路径/usr/local/bin/ ...
- goreplay 镜像nginx web app流量
goreplay 是一个很不错的流量拷贝,复制工具,小巧,支持一些扩展,当然也提供了企业版,企业版 功能更强大,支持二进制协议的分析 备注: 演示使用docker-compose 运行,测试镜像流量到 ...
- 一个 CPU 核 开多少个 线程 比较合适 ?
一个 CPU 核 开多少个 线程 比较合适 ? 这是一个 线程池 的 问题 . 我之前也 反对 过 线程池, 因为我认为 线程池 影响了 对 用户 的 实时响应性 . 我也认为, 分时 (对 CPU ...
- 深入探讨JavaScript如何实现深度复制(deep clone)
在代码复用模式里面有一种叫做“复制属性模式”(copying properties pattern).谈到代码复用的时候,很有可能想到的是代码的继承性(inheritance),但重要的是要记住其最终 ...
- activiti 委派和转办的区别
委派 委派:是将任务节点分给其他人处理,等其他人处理好之后,委派任务会自动回到委派人的任务中 将hr的任务进行委派: taskService.delegateTask(taskId, userId); ...
- docker 的前台模式和后台模式
Detached(后台模式) vs foreground(前台模式) 当我们启动一个容器时,首先需要确定这个容器是运行在前台还是运行在后台. -d, --detach Run container in ...
- redis实现与分析-多机数据库
1.复制,主从结构 redis 2.8以前的复制,由2个步骤 1.初始的同步 2.命令传播 存在问题:同步时出现主从 断线,需要重新发送同步sync信号,非常消耗性能 redis2.8以后新版复制 采 ...
- 在外网访问家里面的电脑 和 DMZ
方法1:使用 MDZ ( demilitarized zone), 中文意思 非武装的区域.我们的家用电脑一般都在 路由器所在的 C类内网(192.X.X.X 的 ip).外网是不能直接访问内网的. ...
- Linux之chgrp
命令功能: 在lunix系统里,文件或目录的权限的掌控以拥有者及所诉群组来管理.可以使用chgrp指令取变更文件与目录所属群组,这种方式采用群组名称或群组识别码都可以.Chgrp命令就是change ...
- Thinkphp 关联模型
1.定义关联模型 2.使用关联模型 D('BlogRelation')->relation(true)->add($data);