前言
作为世界上最流行的开源数据库,MySQL各方面的功能都在不断完善,比如密码管理这一块,从一开始最简单的用户名密码、到 5.7 版本的 validate_password 插件、再到 8.0 版本丰富多彩的密码策略,已经完全可以媲美 DB2、Oracle、SQL Server 等大型商业数据库;今天就给大家带来 MySQL 8.0 新特性 — 密码管理。
密码管理
在MySQL 8.0版本中,针对密码管理这一块,做出了非常大的改进与完善,支持以下功能:
- 密码认证插件
- 密码过期策略
- 密码复用策略
- 密码修改验证策略
- 双重密码支持
- 密码强度策略
- 随机密码生成
- 登录失败追踪
密码认证插件
在MySQL 8.0版本中,支持以下3种密码认证插件:
(1)mysql_native_password:8.0之前默认
(2)caching_sha2_password:8.0默认
(3)sha256_password:可选
caching_sha2_password 作为 8.0 默认的密码认证插件,其安全性强于 mysql_native_password,性能优于sha256_password。但由于客户端和驱动的兼容性问题,建议还是采用 mysql_native_password 作为默认的密码认证插件。
如果采用 caching_sha2_password 作为默认的密码认证插件,那么在建立连接时,一定要指定RSA公钥,否则会报错 "ERROR 2061 (HY000): Authentication plugin 'caching_sha2_password' reported error: Authentication requires secure connection."
密码过期策略
密码过期策略,可以通过系统参数进行设置,对所有用户生效
vim /etc/mysql/my.cnf
default_password_lifetime=180也可以通过SQL语句,对指定用户进行设置
alter user test@'%' password expire interval 180 day; -- 密码有效期180天
alter user test@'%' password expire never; -- 密码永不过期
alter user test@'%' password expire default; -- 采用默认的密码有效期还可以手动指定某用户过期
mysql > alter user test@'%' password expire;密码复用策略
密码复用策略,可以通过系统参数进行设置,对所有用户生效
vim /etc/mysql/my.cnf
password_history = 6 -- 密码多少次不重复
password_reuse_interval = 365 -- 密码多少天不复用也可以通过SQL语句,对指定用户进行设置
mysql > alter user test@'%' password history 6; -- 密码6次不复用
mysql > alter user test@'%' password reuse interval 365 day; -- 密码365天不复用
mysql > alter user test@'%' password history default reuse interval default; -- 采用默认复用策略密码修改验证策略
密码修改前,需要指定旧密码,才能进行修改;这也是大大提高了安全性,大大降低了 客户端记住密码/临时离开工位 导致密码被别人篡改的风险。
可以通过系统参数进行设置,对所有用户生效
vim /etc/mysql/my.cnf
password_require_current = on --启用密码修改验证策略也可以通过SQL语句,对指定用户进行设置
mysql > alter user test@'%' password require current; -- 启用密码修改验证策略
mysql > alter user test@'%' password require optional; -- 密码验证可选
mysql > alter user test@'%' password require current default; -- 采用默认密码验证策略启用密码修改验证策略后,修改密码需要提供旧密码和新密码
mysql > alter user test@'%' identified by 'new_password' replace 'old_password';双重密码支持
相信很多的开发、管理员和 DBA 都遇见过这样一个场景:修改完数据库用户密码,业务系统某个/某些模块立刻不可用,报密码错误;其实这种情况很常见,业务系统模块那么多,有时候会有遗漏不奇怪。双重密码,支持旧密码和新密码同时登录,就可以很好地规避这个问题,平滑地实现密码修改。
保留旧密码
mysql > alter user test@'%' identified by 'new_password' retain current password;废弃旧密码
mysql > alter user test@'%' discard old password;密码强度策略
在 MySQL 5.7 版本中,提供了 validate_password 的插件,实现密码强度策略;在 MySQL 8.0 版本中,官方是将validate_password 改造成组件,并提供一系列系统参数,以实现密码强度策略。
首先,我们需要安装 validate_password 组件,通过以下SQL语句
mysql > INSTALL COMPONENT 'file://component_validate_password';
mysql > UNINSTALL COMPONENT 'file://component_validate_password';然后,我们可以通过以下系统参数,进行密码强度策略设置:
mysql> SHOW VARIABLES LIKE 'validate_password%';
+--------------------------------------+--------+
| Variable_name | Value |
+--------------------------------------+--------+
| validate_password.check_user_name | ON |
| validate_password.dictionary_file | |
| validate_password.length | 8 |
| validate_password.mixed_case_count | 1 |
| validate_password.number_count | 1 |
| validate_password.policy | MEDIUM |
| validate_password.special_char_count | 1 |
+--------------------------------------+--------+
7 rows in set (0.06 sec)关于 mysql 密码策略相关参数:
validate_password.length 固定密码的总长度;
validate_password.dictionary_file 指定密码验证的文件路径;
validate_password.mixed.case_count 整个密码中至少要包含大/小写字母的总个数;
validate_password.number_count 整个密码中至少要包含阿拉伯数字的个数;
validate_password_special_char_count 整个密码中至少要包含特殊字符的个数;
validate_password.policy 指定密码的强度验证等级,默认为 MEDIUM;
关于 validate_password.policy 的取值:
0/LOW:只验证长度;
1/MEDIUM:验证长度、数字、大小写、特殊字符;
2/STRONG:验证长度、数字、大小写、特殊字符、字典文件;
mysql> set global validate_password.length=4;
mysql> set global validate_password.policy='LOW';修改密码验证策略后我们就可以使用简单的密码进行登录了。
密码随机生成
在 MySQL 8.0 中,还支持随机密码生成
mysql > alter user test@'%' identified by random password;可以通过以下系统参数,对随机密码生成的长度进行控制
generated_random_password_length = 20 -- 随机密码生成长度登录失败追踪
最后,再来看一下登录失败的问题;我们可以设置连续登录失败多少次,账号会被锁定多少天,具体如下:
mysql > alter user test@'%' failed_login_attempts 3 password_lock_time 3; -- 失败3次锁定3天总结
在 MySQL 8.0 版本中,密码管理这一块功能日趋完善,大大提高了MySQL数据库的安全性,尤其对政务行业、金融行业等监管要求高的企业来说,更具有吸引力。
