禁止特定 mysql 用户交互式登录

Question 1

你不能。MySQL 无法区分 CLI 会话和来自库的连接，或者至少没有权限模型来处理这种差异。

一般来说，你必须尽可能具体地设定权限。允许来自特定 Web 服务器的连接应该仅限于该服务器。这可以大大减少攻击面。

此外，如果可能的话，请不要mysql在该服务器上安装 CLI 程序，以进一步限制攻击面。

Answer

你不能。MySQL 无法区分 CLI 会话和来自库的连接，或者至少没有权限模型来处理这种差异。

一般来说，你必须尽可能具体地设定权限。允许来自特定 Web 服务器的连接应该仅限于该服务器。这可以大大减少攻击面。

此外，如果可能的话，请不要mysql在该服务器上安装 CLI 程序，以进一步限制攻击面。

Question 2

通常，您可以用两种方式之一或两种方式处理这个问题。您可以设置授权位置，以仅允许用户从您希望用户连接到的 IP、IP 范围或主机名进行连接

例如

 GRANT SELECT, INSERT ON mydb.* TO 'someuser'@'127.0.0.0.1';

仅授予从本地主机选择和插入的权限。或者说您的 Web 服务器位于单独的 vlan 上

 GRANT SELECT, INSERT ON mydb.* TO 'someuser'@'10.128.10.%';

这将允许从 10.128.10.0/24 选择并插入

您还可以关闭 mysql 端口的防火墙，从而只允许来自您希望连接的主机的 mysql 连接。

Answer

通常，您可以用两种方式之一或两种方式处理这个问题。您可以设置授权位置，以仅允许用户从您希望用户连接到的 IP、IP 范围或主机名进行连接

例如

 GRANT SELECT, INSERT ON mydb.* TO 'someuser'@'127.0.0.0.1';

仅授予从本地主机选择和插入的权限。或者说您的 Web 服务器位于单独的 vlan 上

 GRANT SELECT, INSERT ON mydb.* TO 'someuser'@'10.128.10.%';

这将允许从 10.128.10.0/24 选择并插入

您还可以关闭 mysql 端口的防火墙，从而只允许来自您希望连接的主机的 mysql 连接。

相关内容