Início / dba / Perguntas / 13083
Accepted
Katafalkas
Asked: 2012-02-16 02:17:13 +0800 CST

não é possível remover "GRANT USAGE"

  • 772

Eu estava testando algumas coisas e adicionei um:

grant usage on statistics.* to cptnotsoawesome@localhost identified by 'password';

então agora quando eu faço

show grants for cptnotsoawesome@localhost;

Vejo que um deles é:

Grants for cptnotsoawesome@localhost
----------------------------------
GRANT USAGE ON *.* TO 'cptnotsoawesome'@'localhost' IDENTIFIED BY PASSWORD 'somePEW-PEWstring'

Agora eu quero removê-lo, pois acho que é um risco de segurança, então faço o seguinte:

REVOKE USAGE ON *.* FROM 'cptnotsoawesome'@'localhost' IDENTIFIED BY 'password';
FLUSH PRIVILEGES;

Mas ainda mostra essa concessão USAGE na lista de concessões.

Grants for cptnotsoawesome@localhost
----------------------------------
GRANT USAGE ON *.* TO 'cptnotsoawesome'@'localhost' IDENTIFIED BY PASSWORD 'somePEW-PEWstring'

Alguma idéia por quê? O que estou fazendo errado?

mysql permissions

3 respostas

  1. Best Answer

    Nos bastidores, quando você vê um usuário apenas com USAGE, esse usuário está escrito na tabela mysql.user com todos os privilégios globais desativados.

    Você declarou originalmente que o usuário tinha isso:

    grant usage on statistics.* to cptnotsoawesome@localhost identified by 'password';

    Você deve ver uma linha mysql.usercom a senha MD5 e todos os privs globais definidos como N. Você também deve ver uma linha no mysql.db com

    • user='cptnotsoawesome'
    • host='localhost'
    • db='estatísticas'
    • todos os níveis de banco de dados privs definidos como 'Y'

    Você deve ser capaz de vê-los com esta consulta

    SELECT * FROM mysql.db
WHERE user='cptnotsoawesome'
AND host='localhost'
AND db='statistics'\G

    Quando você executou o comando REVOKE, você simplesmente removeu a linha de mysql.db. Isso não tocou a linha em mysql.user. Assim, você ainda pode fazer login no mysql e ter apenas os privs para executar

    SHOW GLOBAL VARIABLES;
SHOW GLOBAL STATUS;

    Se houver um banco de dados de teste chamado testou um banco de dados cujos primeiros 5 caracteres sejam test_, (procure-o usando SELECT * FROM mysql.db WHERE db LIKE 'test%';), o usuário com apenas USAGE poderá ter direitos totais aos bancos de dados de teste. Eu escrevi sobre isso em ServerFault em setembro de 2011 .

    Se você deseja remover a linha do mysql.user, você pode executar

    DROP USER cptnotsoawesome@localhost;

    ou

    DELETE FROM mysql.user WHERE
WHERE user='cptnotsoawesome'
AND host='localhost';
FLUSH PRIVILEGES;
    • 20

  2. USAGE significa que o usuário não tem nenhum privilégio.

    You have to use 'DROP USER'.

    drop user cptnotsoawesome@localhost;

    Você não pode realmente revogar USAGE sem eliminar o usuário. USAGE é um privilégio de nível global.

    dê uma olhada neste link .

    • 11

  3. Por favor, olhe para esta pergunta: -

    https://stackoverflow.com/questions/2126225/why-is-a-grant-usage-created-the-first-time-i-grant-a-user-privileges

    Basicamente, o privilégio USAGE funciona como um privilégio de nível de sistema que você não pode remover. É usado internamente pelo MySQL para que você possa manipular o sistema de privilégios.

    • 2

relate perguntas