LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> MySQL (61) - Oprávnění

Máte právo nevypovídat, aneb jak fungují v MySQL oprávnění.

3.3.2006 06:00 | Petr Zajíc | Články autora | přečteno 18224×

Komerční sdělení: Pořádáme Kurzy MySQL

Právě se v seriálu dostáváme k poměrně rozsáhlé oblasti správy databáze, a tou je oprávnění jednotlivých uživatelů. MySQL obsahuje poměrně silný koncept oprávnění, a proto jej v několika dalších dílech podrobně prozkoumáme. Kvalitně nastavená oprávnění mohou samozřejmě zvýšit bezpečnost serveru a naopak - při špatně nastavených oprávněních můžete přijít o data nebo se - což je mnohdy ještě horší - údaje z databáze mohou dostat do nepovolaných rukou.

Princip

Základní princip oprávnění, který MySQL používá je v zásadě totožný s většinou jiných databázových systémů. Funguje tak, že pokud chcete s databází pracovat, je třeba se nejprve identifikovat pomocí uživatelského jména. Toto uživatelské jméno je samozřejmě unikátní, takže se nemůže stát, že by dva uživatelé na jednom databázovém serveru měli stejné uživatelské jméno.

Pozn.: Na druhou stranu je možné, že se pod jedním uživatelským účtem vytvoří několik připojení k databázi. Ty mají potom z hlediska oprávnění rovnocenné podmínky.

Dalším bezpečnostním prvkem je heslo. Tady už teoreticky je možné, aby dva různí uživatelé měli heslo stejné; i když v praxi to nastane zřídkakdy. Je rovněž teoreticky možné heslo nepoužívat, ale to podstatně snižuje bezpečnost systému. Na základě kombinace uživatelského jména a hesla je rozumným způsobem zajištěno, že se přihlašuje opravdu ten, kdo heslo obdržel. I když s jistotou se to tvrdit nedá, heslo moho být zcizeno.

Následně se přihlášený uživatel pokusí vykonat na databázi nějaký příkaz - vybrat data, manipulovat s daty nebo spravovat databázi. Před každým takovým příkazem jsou zkontrolována oprávnění a buď je akce povolena, nebo je zakázána.

Uvedený přístup funguje obdobně u naprosté většiny databází. MySQL má ještě rozšíření v tom smyslu, že jako součást přihlašovacích informací může DBMS brát v úvahu počítač, z něhož se k databázi připojujete.  Tak tedy například uživatel "franta" může se svým heslem přistupovat k serveru z adresy 192.168.0.1, ale tentýž uživatel nemůže přistupovat ze stroje 192.168.0.2. Tím se možnosti zabezpečení dosti rozšiřují - lze například zakázat nebo povolit přístup k databázi z místní sítě nebo z internetu.

Na druhou stranu je dobré zmínit se o tom, že MySQL nepoužívá integrovaný systém přihlašování známý uživatelům Windows. Integrovaný (trusted) systém zjednodušeně funguje tak, že "když tě ověří systém, smíš i do databáze". MySQL pochopitelně nic takového nepodporuje, protože je multiplatformní a uvedený princip by fungoval pouze na Windows NT (2000, XP).

Rozlišení práv

V moderních databázových systémech samozřejmě nejde jen o to uživateli něco povolit nebo zakázat, ale jde i o to, jak jemné může takové nastavení být. Proto se dají oprávnění vymezit nejen pro celý server, ale i pro jednotlivé drobnější celky. MySQL nezůstává v tomto trendu pozadu, takže pro uživatele lze zajistit následující věci:

  • Přiřadit mu práva pro celý server
  • Přiřadit mu práva pro jednu nebo více databází (z mnoha existujících)
  • Přiřadit mu práva pro jednu nebo více tabulek v databázi (z mnoha existujících)
  • Přiřadit mu práva pro jeden sloupec v tabulce
  • Přiřadit mu práva vytvářet a používat pohledy (jen MySQL 5.x)
  • Přiřadit mu práva vytvářet, měnit nebo spouštět uložené procedury (jen MySQL 5.x)

O jaká práva se konkrétně jedná? Pokud jde o data, lze povolit nebo zakázat, že uživatel může:

  • Prohlížet (používat SELECT)
  • Vkládat (používat INSERT)
  • Upravovat (používat UPDATE)
  • Odstraňovat (používat DELETE)

V případě databází existují práva vytvářet či měnit tabulky, měnit sloupce v tabulkách či vytvářet dočasné tabulky. Existují práva pro správu, umožňující měnit práva ostatním uživatelům nebo měnit nastavení systému. Je toho hodně, ale je v tom systém. Idea je ta, že prostřednictvím kombinace práv by mělo být možné povolit nebo zakázat prakticky cokoli.

Databáze MySQL ukládá oprávnění - jak asi tušíte - do zvláštní, systémové databáze. Ta se jmenuje mysql a je vytvořena při instalaci serveru. Tato databáze obsahuje několik tabulek, které ukládají oprávnění uživatelů pro globání přístup, pro jednotlivé databáze, tabulky a sloupce. Jak uvidíme v příštím díle, oprávnění jsou z tabulek načítána jako klasická data, což znamená, že přímou změnou těchto tabulek pomocí akčních dotazů můžeme oprávnění spravovat. Uvidíme ale také, že existuje sada příkazů SQL, která to udělá za nás s mnohem větším komfortem.

Filozofie

Protože ve správě systému by měla vládnout tvrdá totalitní ruka administrátora, bude se nejspíš při přidělování práv pro databázi používat následující zásada: Co není povoleno, je zakázáno. Většina správců si tedy bude přát použít postup "povolit všem co nejméně" a "povolit více, jen pokud to nezbytně potřebují". Zní to tvrdě, ale účinně se tak dá udržet v databázi pořádek.

V provozu tedy není časté, aby jednotlivý uživatel mohl dělat všechno. Existují spíše uživatelské účty pro práci s daty, uživatelské účty pro nastavování serveru a třeba uživatelské účty pro zálohování dat. Rovněž nebývá časté, že by se více lidí přihlašovalo pod jedním uživatelským účtem. Naopak, každý má typicky svůj účet a svoje heslo.

Praxe

Běžný uživatel při práci s MySQL přiliš nenarazí na oprávnění. Důvodem je fakt, že v typické situaci bude mít (třeba na hostingu) k dispozici jednu databázi, a v ní bude moci provozovat jakoukoli myslitenou akci (obvykle kromě smazání databáze samotné). Uživatelé jsou tedy omezeni na "svoji" databázi a mohou v ní vytvářet a měnit tabulky, pracovat s daty a vytvářet pohledy, funkce a procedury. Zároveň většinou nemají přístup ke konfiguraci systému.

Tento přístup je léty ověřený a obvykle postačí pro webhosting. Spokojen bude jak uživatel, tak správce. Zcela jiná situace však nastane, když bude třeba používat více databází, více uživatelů pracujících se stejnými daty nebo připojovat se z různých míst. Pak přijdou na řadu oprávnění - a leckdy bude pěkný hlavolam nastavit je tak, aby odpovídaly skutečným potřebám praxe.

Jinými slovy - pokud používáte MySQL pouze na webu a jako uživatelé, pravděpodobně se nemusíte záležitostmi kolem oprávnění příliš vzrušovat. Pokud jste správci nebo pokud potřebujete nastavit konkrétní systém, pak se Vám bude líbit následující díl, který se bude nastavováním oprávnění zabývat prakticky.

Verze pro tisk

pridej.cz

 

DISKUZE

Nejsou žádné diskuzní příspěvky u dané položky.



Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

13.9.2017 8:00 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt – tentokrát netradičně v pondělí: 18. září od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

3.9.2017 20:45 /Redakce Linuxsoft.cz
PR: Dne 21. září 2017 proběhne v Praze konference "Mobilní řešení pro business". Hlavní tématy konference budou: nejnovější trendy v oblasti mobilních řešení pro firmy, efektivní využití mobilních zařízení, bezpečnostní rizika a řešení pro jejich omezení, správa mobilních zařízení ve firmách a další.
Přidat komentář

15.5.2017 23:50 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 18. května od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

12.5.2017 16:42 /Honza Javorek
PyCon CZ, česká konference o programovacím jazyce Python, se po dvou úspěšných ročnících v Brně bude letos konat v Praze, a to 8. až 10. června. Na konferenci letos zavítá např. i Armin Ronacher, známý především jako autor frameworku Flask, šablon Jinja2/Twig, a dalších projektů. Těšit se můžete na přednášky o datové analytice, tvorbě webu, testování, tvorbě API, učení a mentorování programování, přednášky o rozvoji komunity, o použití Pythonu ve vědě nebo k ovládání nejrůznějších zařízení (MicroPython). Na vlastní prsty si můžete na workshopech vyzkoušet postavit Pythonem ovládaného robota, naučit se učit šestileté děti programovat, efektivně testovat nebo si v Pythonu pohrát s kartografickým materiálem. Kupujte lístky, dokud jsou.
Přidat komentář

2.5.2017 9:20 /Eva Rázgová
Putovní konference československé Drupal komunity "DrupalCamp Československo" se tentokrát koná 27. 5.2017 na VUT FIT v Brně. Můžete načerpat a vyměnit si zkušenosti z oblasti Drupalu 7 a 8, UX, SEO, managementu týmového vývoje, využití Dockeru pro Drupal a dalších. Vítáni jsou nováčci i experti. Akci pořádají Slovenská Drupal Asociácia a česká Asociace pro Drupal. Registrace na webu .
Přidat komentář

1.5.2017 20:31 /Pavel `Goldenfish' Kysilka
PR: 25.5.2017 proběhne v Praze konference na téma Firemní informační systémy. Hlavními tématy jsou: Informační systémy s vlastní inteligencí, efektivní práce s dokumenty, mobilní přístup k datům nebo využívání cloudu.
Přidat komentář

15.4.2017 15:20 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě IoT a radiokomunikace? Přijď na sraz spolku OpenAlt, který se bude konat ve středu 19. dubna od 18:30 v Šenkovně (Sokolská 60, Praha 2).
Přidat komentář

5.3.2017 19:12 /Redakce Linuxsoft.cz
PR: 23. března proběhne v Praze konferenci na téma Cloud computing v praxi. Hlavními tématy jsou: Nejžhavější trendy v oblasti cloudu a cloudových řešení, Moderní cloudové služby, Infrastruktura současných cloudů, Efektivní využití cloudu, Nástrahy cloudových řešení a jak se jim vyhnout.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

18.9.2017 14:37 / Rojas
high security vault

15.9.2017 7:33 / Wilson
new zealand childcare jobs

31.8.2017 12:11 / Jaromir Obr
Re: ukůládání dat ze souboru

30.7.2017 11:12 / Jaromir Obr
Národní znaky

27.7.2017 12:24 / Jaromir Obr
Cteni/zapis

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2017) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze