Практическое занятие № 14
Управление разграничением доступа в базах данных.
Цель: Получить опыт управления правами привилегиями доступа в базах данных СУБД mysql.
По заказу ФГУ ГНИИ ИТТ «Информика» Северо-Кавказский государственный технический университет
Кафедра защиты информации zik@ncstu.ru
Практическое занятие № 14. Управление разграничением доступа в базах данных. 
Содержание
Теоретическая часть.
Создание нового пользователя и предоставление привилегий
Кто и откуда может подключать ся к серверу Отмена привилегий и удаление
пользователей Практическая часть.
По заказу ФГУ ГНИИ ИТТ «Информика» Северо-Кавказский государственный технический университет
Кафедра защиты информации zik@ncstu.ru
Практическое занятие № 14. Управление разграничением доступа в базах данных. 
Теоретическая часть Создание новых пользователей и
предоставлениеОператор GRANT имеетпривилегийследующий синтаксис:
GRANT privileges (columns)
ON what
TO user IDENTIFIED BY "password"
WITH GRANT OPTION
По заказу ФГУ ГНИИ ИТТ «Информика» Северо-Кавказский государственный технический университет
Кафедра защиты информации zik@ncstu.ru
Практическое занятие № 14. Управление разграничением доступа в базах данных. 
Создание новых пользователей и предоставление привилегий
Для успешного выполнения обязательно нужно правильно определить следующую информацию:
privileges (привилегии).
user - подключающиеся к серверу пользователи и все их глобальные привилегии;
alter - изменение таблиц и индексов;
create - создание баз данных и таблиц;
delete - удаление существующих записей из таблиц;
drop - удаление баз данных и таблиц;
По заказу ФГУ ГНИИ ИТТ «Информика» Северо-Кавказский государственный технический университет
Кафедра защиты информации zik@ncstu.ru
Практическое занятие № 14. Управление разграничением доступа в базах данных. 
Создание новых пользователей и предоставление привилегий
Для успешного выполнения обязательно нужно правильно определить следующую информацию:
index - создание и удаление индексов; insert - вставка новых записей в таблицы; references - нe используется;
select - извлечение существующих записей из таблиц; update - изменение существующих записей таблиц; file - чтение и запись файлов сервера;
По заказу ФГУ ГНИИ ИТТ «Информика» Северо-Кавказский государственный технический университет
Кафедра защиты информации zik@ncstu.ru
Практическое занятие № 14. Управление разграничением доступа в базах данных. 
Создание новых пользователей и предоставление привилегий
Для успешного выполнения обязательно нужно правильно определить следующую информацию:
process - просмотр информации о внутренних потоках сервера и их удаление;
reload - перезагрузка таблиц разрешений или обновление журналов, кэша компьютера или кэша таблицы;
shutdown - завершение работы сервера;
all - все операции. Аналог — all privileges
usage - полное отсутствие привилегий
По заказу ФГУ ГНИИ ИТТ «Информика» Северо-Кавказский государственный технический университет
Кафедра защиты информации zik@ncstu.ru
Практическое занятие № 14. Управление разграничением доступа в базах данных. 
Создание нового пользователя и предоставление привилегий
Для создания нового пользователя необходимо ввести команду:
CREATE USER 'username'@'localhost' IDENTIFIED BY
PASSWORD 'mysqlpassword'
где username - имя пользователя; mysqlpassword - пароль пользователя.
По заказу ФГУ ГНИИ ИТТ «Информика» Северо-Кавказский государственный технический университет
Кафедра защиты информации zik@ncstu.ru
Практическое занятие № 14. Управление разграничением доступа в базах данных. 
Кто и откуда может подключаться к
серверу
Администратор может разрешить пользователю подключаться:
сопределенного компьютера. Можно предоставить пользователям доступ с помощью следующих операторов:
сразличных компьютеров. Так, чтобы пользователь mаrtу мог подключаться с компьютеров домена snake.net, достаточно воспользоваться спецификатором %.snake.net:
По заказу ФГУ ГНИИ ИТТ «Информика» Северо-Кавказский государственный технический университет
Кафедра защиты информации zik@ncstu.ru
Практическое занятие № 14. Управление разграничением доступа в базах данных. 
Кто и откуда может подключаться к серверу
Администратор может предоставлять пользователям привилегии разных уровней. Наиболее мощными являются глобальные привилегии, применяемые ко всем базам данных. Так, например, чтобы предоставить пользователю ethel права суперпользователя, который может делать все, в том числе и предоставлять привилегии другим пользователям, необходимо использовать следующий оператор:
По заказу ФГУ ГНИИ ИТТ «Информика» Северо-Кавказский государственный технический университет
Кафедра защиты информации zik@ncstu.ru
Практическое занятие № 14. Управление разграничением доступа в базах данных. 
Кто и откуда может подключаться к серверу
Некоторые привилегии (FILE, process, reload и shutdown) являются административными и могут присваиваться только с помощью спецификатора глобальных привилегий ON *.*. В случае необходимости их можно присваивать без предоставления привилегий на уровне базы данных. Так, например, приведенный ниже оператор создает пользователя flush, который обладает возможностью только выполнять операторы FLUSH. Это может оказаться полезным в административных сценариях, когда необходимо выполнить обновление журналов:
По заказу ФГУ ГНИИ ИТТ «Информика» Северо-Кавказский государственный технический университет
Кафедра защиты информации zik@ncstu.ru