LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> MySQL (61) - Oprávnění

Máte právo nevypovídat, aneb jak fungují v MySQL oprávnění.

3.3.2006 06:00 | Petr Zajíc | Články autora | přečteno 18658×

Právě se v seriálu dostáváme k poměrně rozsáhlé oblasti správy databáze, a tou je oprávnění jednotlivých uživatelů. MySQL obsahuje poměrně silný koncept oprávnění, a proto jej v několika dalších dílech podrobně prozkoumáme. Kvalitně nastavená oprávnění mohou samozřejmě zvýšit bezpečnost serveru a naopak - při špatně nastavených oprávněních můžete přijít o data nebo se - což je mnohdy ještě horší - údaje z databáze mohou dostat do nepovolaných rukou.

Princip

Základní princip oprávnění, který MySQL používá je v zásadě totožný s většinou jiných databázových systémů. Funguje tak, že pokud chcete s databází pracovat, je třeba se nejprve identifikovat pomocí uživatelského jména. Toto uživatelské jméno je samozřejmě unikátní, takže se nemůže stát, že by dva uživatelé na jednom databázovém serveru měli stejné uživatelské jméno.

Pozn.: Na druhou stranu je možné, že se pod jedním uživatelským účtem vytvoří několik připojení k databázi. Ty mají potom z hlediska oprávnění rovnocenné podmínky.

Dalším bezpečnostním prvkem je heslo. Tady už teoreticky je možné, aby dva různí uživatelé měli heslo stejné; i když v praxi to nastane zřídkakdy. Je rovněž teoreticky možné heslo nepoužívat, ale to podstatně snižuje bezpečnost systému. Na základě kombinace uživatelského jména a hesla je rozumným způsobem zajištěno, že se přihlašuje opravdu ten, kdo heslo obdržel. I když s jistotou se to tvrdit nedá, heslo moho být zcizeno.

Následně se přihlášený uživatel pokusí vykonat na databázi nějaký příkaz - vybrat data, manipulovat s daty nebo spravovat databázi. Před každým takovým příkazem jsou zkontrolována oprávnění a buď je akce povolena, nebo je zakázána.

Uvedený přístup funguje obdobně u naprosté většiny databází. MySQL má ještě rozšíření v tom smyslu, že jako součást přihlašovacích informací může DBMS brát v úvahu počítač, z něhož se k databázi připojujete.  Tak tedy například uživatel "franta" může se svým heslem přistupovat k serveru z adresy 192.168.0.1, ale tentýž uživatel nemůže přistupovat ze stroje 192.168.0.2. Tím se možnosti zabezpečení dosti rozšiřují - lze například zakázat nebo povolit přístup k databázi z místní sítě nebo z internetu.

Na druhou stranu je dobré zmínit se o tom, že MySQL nepoužívá integrovaný systém přihlašování známý uživatelům Windows. Integrovaný (trusted) systém zjednodušeně funguje tak, že "když tě ověří systém, smíš i do databáze". MySQL pochopitelně nic takového nepodporuje, protože je multiplatformní a uvedený princip by fungoval pouze na Windows NT (2000, XP).

Rozlišení práv

V moderních databázových systémech samozřejmě nejde jen o to uživateli něco povolit nebo zakázat, ale jde i o to, jak jemné může takové nastavení být. Proto se dají oprávnění vymezit nejen pro celý server, ale i pro jednotlivé drobnější celky. MySQL nezůstává v tomto trendu pozadu, takže pro uživatele lze zajistit následující věci:

  • Přiřadit mu práva pro celý server
  • Přiřadit mu práva pro jednu nebo více databází (z mnoha existujících)
  • Přiřadit mu práva pro jednu nebo více tabulek v databázi (z mnoha existujících)
  • Přiřadit mu práva pro jeden sloupec v tabulce
  • Přiřadit mu práva vytvářet a používat pohledy (jen MySQL 5.x)
  • Přiřadit mu práva vytvářet, měnit nebo spouštět uložené procedury (jen MySQL 5.x)

O jaká práva se konkrétně jedná? Pokud jde o data, lze povolit nebo zakázat, že uživatel může:

  • Prohlížet (používat SELECT)
  • Vkládat (používat INSERT)
  • Upravovat (používat UPDATE)
  • Odstraňovat (používat DELETE)

V případě databází existují práva vytvářet či měnit tabulky, měnit sloupce v tabulkách či vytvářet dočasné tabulky. Existují práva pro správu, umožňující měnit práva ostatním uživatelům nebo měnit nastavení systému. Je toho hodně, ale je v tom systém. Idea je ta, že prostřednictvím kombinace práv by mělo být možné povolit nebo zakázat prakticky cokoli.

Databáze MySQL ukládá oprávnění - jak asi tušíte - do zvláštní, systémové databáze. Ta se jmenuje mysql a je vytvořena při instalaci serveru. Tato databáze obsahuje několik tabulek, které ukládají oprávnění uživatelů pro globání přístup, pro jednotlivé databáze, tabulky a sloupce. Jak uvidíme v příštím díle, oprávnění jsou z tabulek načítána jako klasická data, což znamená, že přímou změnou těchto tabulek pomocí akčních dotazů můžeme oprávnění spravovat. Uvidíme ale také, že existuje sada příkazů SQL, která to udělá za nás s mnohem větším komfortem.

Filozofie

Protože ve správě systému by měla vládnout tvrdá totalitní ruka administrátora, bude se nejspíš při přidělování práv pro databázi používat následující zásada: Co není povoleno, je zakázáno. Většina správců si tedy bude přát použít postup "povolit všem co nejméně" a "povolit více, jen pokud to nezbytně potřebují". Zní to tvrdě, ale účinně se tak dá udržet v databázi pořádek.

V provozu tedy není časté, aby jednotlivý uživatel mohl dělat všechno. Existují spíše uživatelské účty pro práci s daty, uživatelské účty pro nastavování serveru a třeba uživatelské účty pro zálohování dat. Rovněž nebývá časté, že by se více lidí přihlašovalo pod jedním uživatelským účtem. Naopak, každý má typicky svůj účet a svoje heslo.

Praxe

Běžný uživatel při práci s MySQL přiliš nenarazí na oprávnění. Důvodem je fakt, že v typické situaci bude mít (třeba na hostingu) k dispozici jednu databázi, a v ní bude moci provozovat jakoukoli myslitenou akci (obvykle kromě smazání databáze samotné). Uživatelé jsou tedy omezeni na "svoji" databázi a mohou v ní vytvářet a měnit tabulky, pracovat s daty a vytvářet pohledy, funkce a procedury. Zároveň většinou nemají přístup ke konfiguraci systému.

Tento přístup je léty ověřený a obvykle postačí pro webhosting. Spokojen bude jak uživatel, tak správce. Zcela jiná situace však nastane, když bude třeba používat více databází, více uživatelů pracujících se stejnými daty nebo připojovat se z různých míst. Pak přijdou na řadu oprávnění - a leckdy bude pěkný hlavolam nastavit je tak, aby odpovídaly skutečným potřebám praxe.

Jinými slovy - pokud používáte MySQL pouze na webu a jako uživatelé, pravděpodobně se nemusíte záležitostmi kolem oprávnění příliš vzrušovat. Pokud jste správci nebo pokud potřebujete nastavit konkrétní systém, pak se Vám bude líbit následující díl, který se bude nastavováním oprávnění zabývat prakticky.

Verze pro tisk

pridej.cz

 

DISKUZE

Nejsou žádné diskuzní příspěvky u dané položky.



Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

16.7.2018 1:05 /František Kučera

Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.


Přidat komentář

18.6.2018 0:43 /František Kučera
Červnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 21. 6. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát na téma: F-Droid, aneb svobodný software do vašeho mobilu. Kromě toho budou k vidění i vývojové desky HiFive1 se svobodným/otevřeným čipem RISC-V.
Přidat komentář

23.5.2018 20:55 /Ondřej Čečák
Od pátku 25.5. proběhne na Fakultě informačních technologií ČVUT v Praze openSUSE Conference. Můžete se těšit na spostu zajímavých přednášek, workshopů a také na Release Party nového openSUSE leap 15.0. V na stejném místě proběhne v sobotu 26.5. i seminář o bezpečnosti CryptoFest.
Přidat komentář

20.5.2018 17:45 /Redakce Linuxsoft.cz
Ve čtvrtek 31. května 2018 připravuje webový magazín BusinessIT ve spolupráci s Best Online Média s.r.o. pátý ročník odborné konference Firemní informační systémy 2018. Akce proběhne v kongresovém centru Vavruška (palác Charitas), Karlovo náměstí 5, Praha 2 (u metra Karlovo náměstí) od 9:00 hod. dopoledne do cca 15 hod. odpoledne. Konference je zaměřena na efektivní využití firemních informačních systémů a na to, jak plně využít jejich potenciál. Podrobnější informace na webových stránkách konfrence.
Přidat komentář

14.5.2018 7:28 /František Kučera
Květnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 17. 5. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát na téma: Audio – zvuk v GNU/Linuxu.
Přidat komentář

7.5.2018 16:20 /František Kučera
Na stránkách spolku OpenAlt vyšla fotoreportáž Pražské srazy 2017 dokumentující srazy za uplynulý rok. Květnový pražský sraz na téma audio se bude konat 17. 5. 2018 (místo a čas ještě upřesníme).
Přidat komentář

17.4.2018 0:46 /František Kučera
Dubnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 4. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tématem tohoto srazu bude OpenStreetMap (OSM) aneb svobodné mapy.
Přidat komentář

16.3.2018 22:01 /František Kučera
Kulatý OpenAlt sraz v Praze oslavíme klasicky: u limonády a piva! Přijďte si posedět, dát si dobré jídlo a vybrat z mnoha piv do restaurace Kulový blesk, který najdete v centru Prahy nedaleko metra I. P. Pavlova na adrese Sokolská 13, Praha 2. Sraz se koná ve čtvrtek 22. března a začínáme v 18:00. Heslo: OpenAlt. Vezměte s sebou svoje hračky! Uvítáme, když si s sebou na sraz vezmete svoje oblíbené hračky. Jestli máte nějaký drobný projekt postavený na Arduinu, nějakou zajímavou elektronickou součástku, či třeba i pěkný úlovek z crowdfundingové akce, neváhejte. Oslníte ostatní a o zábavu bude postaráno.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

20.2.2018 18:48 / Ivan Majer
portal

20.2.2018 15:57 / Jan Havel
Jak využíváte služby cloudu v podnikání?

16.1.2018 1:08 / Ivan Pittner
verejna ip od o2 ubuntu

15.1.2018 17:26 / Mira Harvalik
Re: Jak udělat HTML/Javascript swiping gallery do mobilu?

30.12.2017 20:16 / Michal Knoll
odmocnina

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2018) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze