MySQL 限制用户访问information_schema

MySQL是当前最流行的关系型数据库管理系统之一，其中information_schema是一个重要的系统数据库，它存储了关于MySQL服务器各个方面的元数据信息。这些信息包括数据库、表、列、索引、用户等。然而，由于information_schema包含了系统相关的数据，如果不加限制地让所有用户都能够访问该数据库，那么可能导致系统安全风险，因此需要对用户的访问进行限制。

阅读更多：MySQL 教程

1.用户权限管理

在MySQL中，用户权限是针对某个特定的数据库或表进行授予的，而访问information_schema需要SELECT权限。如果想要限制用户对information_schema的访问，可以通过以下几种方式：

1.1 给用户授予特定的数据库和表的权限

最直接的方式就是对用户的权限进行管理，给予用户只能访问指定数据库和表的权限。这样一来，用户只能看到和操作它们被授权访问的数据，而无法访问到information_schema中的数据。

例如：

给用户tom授予对test数据库中的test_table表的SELECT权限：

GRANT SELECT ON test.test_table TO 'tom'@'localhost';

此时，tom只能访问test.test_table这个具体的表，而无法访问test数据库中的其他表或information_schema中的数据。

1.2 ACL控制

MySQL提供了一种名为ACL（Access Control List）的机制，可以控制对某些数据库或表的访问权限，从而实现对信息_schema的限制。ACL机制本质是在MySQL服务器操作系统用户组和操作系统文件权限系统之间建立连接，在MySQL运行时，只有能够通过操作系统验证的用户才能访问指定的数据库或表。

例如：

创建一个acl表，用于存储哪些用户可以访问哪些数据库，以及访问权限：

CREATE TABLE acl (
    user VARCHAR(16) NOT NULL,
    database_name VARCHAR(64) NOT NULL,
    permission VARCHAR(8) NOT NULL,
    PRIMARY KEY (user,database_name)
);

添加一些记录：

INSERT INTO acl VALUES ('tom','test','%');

这将允许用户tom访问所有的test库中的表，可以用以下命令测试：

SELECT * FROM test.test_table;

如果其他的用户尝试访问这个表，将会得到”Table ‘test.test_table’ doesn’t exist”的错误提示。

1.3 使用MySQL Proxy过滤

MySQL Proxy是一个具有插件扩展机制的MySQL中间件，支持MySQL Client/Server协议的拦截和修改，并可以自定义对MySQL语句和结果的拦截、修改等。可以通过使用MySQL Proxy拦截所有用户的访问请求，然后实现对information_schema的访问限制。

例如：

使用MySQL Proxy过滤SQL语句，屏蔽所有用户与information_schema的交互：

function read_query(packet)
    if packet:byte() == proxy.COM_QUERY then
        local query = packet:sub(2)
        if string.find(string.lower(query), "information_schema") then
            return proxy.PROXY_IGNORE_RESULT
        end
    end
end

这样一来，所有的SQL查询操作都将被拦截，如果包含了information_schema，则会被忽略掉。

2.隐藏数据库

除了限制用户访问information_schema外，还可以采取一些措施来隐藏information_schema数据库，从而保护系统安全。例如：

2.1 修改数据目录

修改MySQL的数据目录，将information_schema存储文件移动到其他的目录中去。这样一来，即使用户能够通过查询信息_schema的表，也无法获取到其中的数据。

例如：

将MySQL的数据目录改为/usr/mysql_data/，并将information_schema目录移动到/usr/mysql_data_hidden/，其实现步骤如下：

1. 停止MySQL服务

service mysql stop

2. 复制原数据目录到指定目录

cp -r /var/lib/mysql /usr/mysql_data

3. 移动information_schema目录

mv /usr/mysql_data/information_schema /usr/mysql_data_hidden

4. 修改my.cnf配置文件，将数据目录改为/usr/mysql_data

[mysqld]
datadir = /usr/mysql_data

5. 重新启动MySQL服务

service mysql start

2.2 隐藏information_schema

可以使用MySQL的访问控制功能，将information_schema的访问权限仅限于管理员。这样一来，虽然information_schema在数据库列表中仍然可见，但用户却不能访问其中的数据。

例如：

创建一个名为hidden_info的管理员账户，只给该账户授予对information_schema的访问权限：

GRANT ALL PRIVILEGES ON information_schema.* TO 'hidden_info'@'localhost';

这样一来，只有该hidden_info账户才能访问information_schema数据库，而其他用户无法访问。

总结

限制用户访问information_schema是保护系统安全的重要步骤之一，但也需要根据实际情况选择适合自己的措施。可以通过授权管理、ACL控制、MySQL Proxy过滤和隐藏数据库等不同方式来实现限制访问。同时，对于要访问information_schema的用户，需谨慎审核权限，避免存在潜在的安全隐患。