사용자를 추가하기 위해서는 반드시 루트 계정이 있어야 한다.
1. grant all privileges on *.* to 'testuser'@'localhost'
identified by '설정패스워스' with grant option;
2. grant all privileges on *.* to 'testuser'@'%'
identified by '설정패스워스' with grant option;
3. grant reload,process on *.* to 'testuser'@'locahost';
4. grant usage on *.* to 'testuser'@'locahost';
1번과 2번의 경우는 슈퍼 계정!! root와 같은 모든 권한을 가지는 계정을 가지게 된다.
1번 계정은 로컬호스트에서 접속을 할 경우에만 사용되는것이고,
2번 계정은 다른 호스트에서 접속을 하기 위해 사용된다.
testuser란 계정으로 어디에서든지 접속을 하려면 testuser이름으로 1,2번 계정을 모두 가지고 있는 것이 필요하다.
3번 계정은 패스워드가 정의되어있지 않다.
이것은 로컬호스트에서 reload와 process관리 권한을 가지고있다.
mysqladmin reload,mysqladmin refresh, mysqladmin flush-xxx, mysqladmin processlist 도 실행할수 있다고 한다. 하지만 어떤 데이터 베이스에도 접급할수있는 권한은 없다!
나중에 grant명령문을 입력하새ㅓ 권한을 추가할수도 있다.
4번 계정은 3번가 마찬가지 이지만 아무런 권한이 없는 계정을 만든것이다.
USAGE가 그런 뜻을 의미하는데, 이것은 모든 글로번 권한을 'N'으로 설정한 것이라고 한다.
이계정에 특정 권한을 나중에 승인할 것이라는 가정을 한다.
계정을 생성하는 또 한가지 방법은 INSERT 문을 사용하는 것이다.
1. insert into user values('locahost','계정명',password('패스워드'),
'y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y');
2. insert into user values('%','계정명',password('패스워드'),
'y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y');
3. insert into user set Host='locahost',User='계정명',Reload_priv='y',Process_priv='y';
4. insert into user(Host,User,Password) values('locahost','계정명','');
5. flush privileges;
1,2,3,4번 계정의 의미는 위에서 grant를 이용하여 만든 계정과 의미가 같다.
5번의 flush privileges; 는 서버가 grant 테이블을 다시 읽어 오도록 만들기 위해서 이다.
그렇지 않으면 서버를 재 구동 시키기 전에는 변경 사항이 적용되지 않는다.
하지만 grant를 사용하는 경우는 flush pricileges가 필요 없다.
1,2번의 insert문의 패스워드 입력에서 password('패스워드')라고 사용한것은 패스워드를 암호화 하기 위해서 이다. grant명령문은 알아서 암호화가 된다!
이번에는 데이터베이스 접근 권한을 설정해보자.
1. grant select, insert, update, delete, create, drop
on bankaccount.*
to 'custom'@'localhost'
identified by 'obscure';
2. grant select, insert, update, delete, create, drop
on expenses.*
to 'custom'@'whitehouse.gov'
identified by 'obscure';
3. grant select, insert, update, delete, create, drop
on customer.*
to 'custom'@'server.domain'
identified by 'obscure';
1번 계정은 bankaccount 데이터 베이스에 접근할 수는 있으나, 로컬 호스트에서만 가능하다.
2번 계정은 expenses 데이터 베이스에 접근할 수 있으나, 호스트 whitehouse.gov에서만 가능하다.
3번 계정은 customer 데이터 베이스에 접근할 수 있으나, server.domain에서만 가능하다.
insert를 사용한 방법.
1-1. insert into user(Host,User,Password) values('locahost','custom',password('obscure'));
1-2. insert into user(Host,User,Password) values('whitehouse.gov','custom',password('obscure'));
1-3. insert into user(Host,User,Password) values('server.domain','custom',password('obscure'));
2-1. insert into db
(Host,Db,User,Select_priv,Insert_priv,Update_priv,Delete_pric,Create_pric,Drop_pric)
values('localhost','bankaccount','custom','y','y','y','y','y','y');
2-2. insert into db
(Host,Db,User,Select_priv,Insert_priv,Update_priv,Delete_pric,Create_pric,Drop_pric)
values('whitehouse.goc','expenses','custom','y','y','y','y','y','y');
2-3. insert into db
(Host,Db,User,Select_priv,Insert_priv,Update_priv,Delete_pric,Create_pric,Drop_pric)
values('server.domain','customer','custom','y','y','y','y','y','y');
flush privileges;
이것도 마찬가지로 flush pricileges; 를 반드시 해줘야 적용이 된다~
한가지 팁이라면... % 와일드 카드 문자를 사용하여 grant명령문을 입력하면 모든 곳에서 허용이 된다.
예) grant ... on *.* to 'user'@'%.mydomain.com' identified by 'myboss';
(이렇게 하면 .mydomain.com앞에 뭐가 붙어서 오든지 허용이 된다는 뜻.)
grant ... on test_%.* to ... identified by ...;
(이건 데이터베이스 이름이 test_ 로 시작하는 모든것에 사용권한을 부여한다는 뜻이다.)
원본 레퍼런스 참조.