MySQL8的密碼管理

歡迎來到藍(lán)隊(duì)云技術(shù)小課堂，每天分享一個(gè)技術(shù)小知識。

MySQL中記錄使用過的歷史密碼，目前包含如下密碼管理功能：

（1）密碼過期：需要定期修改密碼。

（2）密碼重用機(jī)制：不允許使用舊密碼。

（3）密碼強(qiáng)度評估：要求使用高強(qiáng)度的密碼。

MySQL密碼管理功能只針對使用基于MySQL授權(quán)插件的賬號，這些插件有mysql_native_password、sha256_password和caching_sha2_password。

1. 密碼過期策略

• 在MySQL中，數(shù)據(jù)庫管理員可以手動(dòng)設(shè)置賬號密碼過期，也可以建立一個(gè)自動(dòng)密碼過期的策略。

• 過期策略可以是全局的，也可以為每個(gè)賬號設(shè)置單獨(dú)的過期策略。

手動(dòng)設(shè)置立馬過期

手動(dòng)設(shè)置賬號密碼過期，可使用如下語句：

ALTER USER user PASSWORD EXPIRE;

示例：將用戶zhang3賬號的密碼設(shè)置為過期，SQL語句如下：

ALTER USER 'zhang3'@'localhost' PASSWORD EXPIRE;

該語句將用戶zhang3的密碼設(shè)置為過期，zhang3用戶仍然可以登錄進(jìn)入數(shù)據(jù)庫，但無法進(jìn)行查詢。密碼過期后，只有重新設(shè)置了新密碼，才能正常使用。

手動(dòng)設(shè)置指定時(shí)間過期方式1：全局

如果密碼使用的時(shí)間大于允許的時(shí)間，服務(wù)器會自動(dòng)設(shè)置為過期，不需要手動(dòng)設(shè)置。

MySQL使用 default_password_lifetime 系統(tǒng)變量建立全局密碼過期策略。

• 它的默認(rèn)值是0，表示禁用自動(dòng)密碼過期。

• 它允許的值是正整數(shù)N，表示允許的密碼生存期。密碼必須每隔N天進(jìn)行修改。

兩種實(shí)現(xiàn)方式分別如圖所示：

• 方式①：使用SQL語句更改該變量的值并持久化

SET PERSIST default_password_lifetime = 180; # 建立全局策略，設(shè)置密碼每隔180天過期

• 方式②：配置文件my.cnf中進(jìn)行維護(hù)

[mysqld]
default_password_lifetime=180 #建立全局策略，設(shè)置密碼每隔180天過期

手動(dòng)設(shè)置指定時(shí)間過期方式2：單獨(dú)設(shè)置

每個(gè)賬號既可延用全局密碼過期策略，也可單獨(dú)設(shè)置策略。在 CREATE USER 和 ALTER USER 語句上加入 PASSWORD EXPIRE 選項(xiàng)可實(shí)現(xiàn)單獨(dú)設(shè)置策略。下面是一些語句示例。

#設(shè)置zhang3賬號密碼每90天過期：
CREATE USER 'zhang3'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
ALTER USER 'zhang3'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;


#設(shè)置密碼永不過期：
CREATE USER 'zhang3'@'localhost' PASSWORD EXPIRE NEVER;
ALTER USER 'zhang3'@'localhost' PASSWORD EXPIRE NEVER;


#延用全局密碼過期策略：
CREATE USER 'zhang3'@'localhost' PASSWORD EXPIRE DEFAULT;
ALTER USER 'zhang3'@'localhost' PASSWORD EXPIRE DEFAULT;

2. 密碼重用策略

MySQL限制使用已用過的密碼。重用限制策略基于密碼更改的數(shù)量和使用時(shí)間。重用策略可以是全局的，也可以為每個(gè)賬號設(shè)置單獨(dú)的策略。

• 賬號的歷史密碼包含過去該賬號所使用的密碼。MySQL基于以下規(guī)則來限制密碼重用：

• 如果賬號的密碼限制基于密碼更改的數(shù)量，那么新密碼不能從最近限制的密碼數(shù)量中選擇。例如，如果密碼更改的最小值是3，那么新密碼不能與最近3個(gè)密碼中任何一個(gè)相同。

• 如果賬號的密碼限制基于時(shí)間，那么新密碼不能從規(guī)定時(shí)間內(nèi)選擇。例如，如果密碼重用周期為60天，那么新密碼不能從最近60天內(nèi)使用的密碼中選擇。

• MySQL使用password_history和password_reuse_interval系統(tǒng)變量設(shè)置密碼重用策略。

• password_history: 規(guī)定密碼重用的數(shù)量。

• password_reuse_interval: 規(guī)定密碼重用的周期

• 這兩個(gè)值可在服務(wù)器的配置文件中進(jìn)行維護(hù)，也可在運(yùn)行期間使用SQL語句更改該變量的值并持久化。

手動(dòng)設(shè)置密碼重用方式1：全局

• 方式①：使用SQL

SET PERSIST password_history = 6; #設(shè)置不能選擇最近使用過的6個(gè)密碼

SET PERSIST password_reuse_interval = 365; #設(shè)置不能選擇最近一年內(nèi)的密碼

• 方式②：my.cnf配置文件

[mysqld]
password_history=6
password_reuse_interval=365

手動(dòng)設(shè)置密碼重用方式2：單獨(dú)設(shè)置

每個(gè)賬號可以延用全局密碼重用策略，也可以單獨(dú)設(shè)置策略。這兩個(gè)選項(xiàng)可以單獨(dú)使用，也可以結(jié)合在一起使用。下面是一些示例。

#不能使用最近5個(gè)密碼：
CREATE USER 'zhang3'@'localhost' PASSWORD HISTORY 5;

ALTER USER 'zhang3'@'localhost' PASSWORD HISTORY 5;


#不能使用最近365天內(nèi)的密碼：
CREATE USER 'zhang3'@'localhost' PASSWORD REUSE INTERVAL 365 DAY;

ALTER USER 'zhang3'@'localhost' PASSWORD REUSE INTERVAL 365 DAY;


#既不能使用最近5個(gè)密碼，也不能使用365天內(nèi)的密碼
CREATE USER 'zhang3'@'localhost'
PASSWORD HISTORY 5
PASSWORD REUSE INTERVAL 365 DAY;

ALTER USER 'zhang3'@'localhost'
PASSWORD HISTORY 5
PASSWORD REUSE INTERVAL 365 DAY;

藍(lán)隊(duì)云官網(wǎng)上擁有完善的技術(shù)支持庫可供參考，大家可自行查閱，更多技術(shù)問題，可以直接咨詢。同時(shí)，藍(lán)隊(duì)云整理了運(yùn)維必備的工具包免費(fèi)分享給大家使用，需要的朋友可以直接咨詢。

更多技術(shù)知識，藍(lán)隊(duì)云期待與你一起探索。