ubuntu sqladmin权限分配策略

Ubuntu环境下SQLAdmin权限分配策略
在Ubuntu系统中，SQLAdmin权限分配需结合数据库类型（如MySQL、PostgreSQL）和系统安全规范，核心目标是最小化权限暴露、强化访问控制、保障数据安全。以下是具体策略：

登录数据库：使用root用户登录MySQL命令行（sudo mysql -u root -p）。
创建SQLAdmin用户：建议限制为本地连接（生产环境避免使用%），并设置强密码：
```
CREATE USER 'sqladmin'@'localhost' IDENTIFIED BY 'ComplexPassword123!';
```

分配权限：根据需求选择权限范围：

全库全表权限（仅用于管理场景）：

GRANT ALL PRIVILEGES ON *.* TO 'sqladmin'@'localhost' WITH GRANT OPTION;

特定数据库权限（推荐生产环境使用）：

GRANT SELECT, INSERT, UPDATE, DELETE ON your_database.* TO 'sqladmin'@'localhost';

登录数据库：使用postgres用户登录PostgreSQL命令行（sudo -u postgres psql）。
创建SQLAdmin角色：设置密码并赋予核心权限（如需管理数据库）：
```
CREATE ROLE sqladmin WITH LOGIN PASSWORD 'ComplexPassword123!' SUPERUSER CREATEDB CREATEROLE;
```
- SUPERUSER：允许执行所有数据库操作（谨慎使用）；
- CREATEDB：允许创建数据库；
- CREATEROLE：允许创建角色。

MySQL：修改配置文件/etc/mysql/mysql.conf.d/mysqld.cnf，将bind-address从0.0.0.0改为127.0.0.1，仅允许本地连接；
PostgreSQL：修改pg_hba.conf（如/etc/postgresql/<version>/main/pg_hba.conf），限制SQLAdmin用户的访问IP（如host your_database sqladmin 192.168.1.100/32 md5）；
修改后重启服务：sudo systemctl restart mysql（MySQL）或sudo systemctl restart postgresql（PostgreSQL）。

修改SSH配置（/etc/ssh/sshd_config），设置PermitRootLogin no，并重启SSH服务：
```
sudo systemctl restart sshd
```
通过普通用户+sudo机制执行管理操作，减少root账户暴露风险。

使用ufw限制访问：仅允许必要端口（如MySQL的3306、PostgreSQL的5432）通过，且仅允许可信IP：
```
sudo ufw allow from 192.168.1.100 to any port 3306
sudo ufw enable
```

定期检查数据库日志（如MySQL的/var/log/mysql/error.log、PostgreSQL的/var/log/postgresql/postgresql-<version>-main.log），关注异常登录或操作；
使用工具（如Logwatch）自动化日志分析，及时发现潜在威胁。

最新问答