//
mysql8.0密码过期策略
//
MySQL8.0.16开始,可以设置密码的过期策略,今天针对这个小的知识点进行展开。
1、手工设置单个密码过期
MySQL8.0中,我们可以使用alter user这个命令来让密码过期。
首先我们创建账号yeyz,密码是yeyz
[root@VM-0-14-centos ~]# /usr/local/mysql-8.0.19-el7-x86_64/bin/mysql -uyeyz -pyeyz -h127.0.0.1 -P4306 -e "select 1" mysql: [Warning] Using a password on the command line interface can be insecure. +---+ | 1 | +---+ | 1 | +---+
这里我们让它过期:
mysql> alter user yeyz@'127.0.0.1' password expire; Query OK, 0 rows affected (0.01 sec)
再来看连接:
[root@VM-0-14-centos ~]# /usr/local/mysql-8.0.19-el7-x86_64/bin/mysql -uyeyz -pyeyz -h127.0.0.1 -P4306 -e "select 1" mysql: [Warning] Using a password on the command line interface can be insecure. Please use --connect-expired-password option or invoke mysql in interactive mode. ### 提示我们通过--connect-expire-password命令来进行连接,我们加上看看 [root@VM-0-14-centos ~]# /usr/local/mysql-8.0.19-el7-x86_64/bin/mysql -uyeyz -pyeyz -h127.0.0.1 -P4306 --connect-expired-password -e "select 1" mysql: [Warning] Using a password on the command line interface can be insecure. ERROR 1820 (HY000) at line 1: You must reset your password using ALTER USER statement before executing this statement. ### 这里提示我们先执行alter user的语法来修改密码,然后再使用密码。
当然,除了手工设置密码过期外,我们还可以设置密码永不过期和指定过期时间:
### 设置密码永不过期 mysql> create user yeyz1@'127.0.0.1' identified with 'mysql_native_password' by 'yeyz1' password expire never; Query OK, 0 rows affected (0.01 sec) ### 设置密码过期天数为指定天数 mysql> create user yeyz2@'127.0.0.1' identified with 'mysql_native_password' by 'yeyz2' password expire interval 90 day; Query OK, 0 rows affected (0.01 sec)
如果我们想遵循全局密码到期策略,则可以使用defalut关键字:
mysql> create user yeyz3@'127.0.0.1' identified with 'mysql_native_password' by 'yeyz3' password expire default; Query OK, 0 rows affected (0.01 sec)
这种情况下,将遵守参数default_password_lifetime设置的时间。
2、设置全局密码过期时间。
如果我们想让所有的密码都有过期时间,可以通过配置参数default_password_lifetime。它的默认值为0,表示禁用自动密码过期。如果default_password_lifetime的值为正整数N,则表示允许的密码生存期,单位为天,因此必须每N天更改一次密码。
mysql> show variables like '%lifetime%'; +---------------------------+-------+ | Variable_name | Value | +---------------------------+-------+ | default_password_lifetime | 0 | +---------------------------+-------+ 1 row in set (0.00 sec)
3、设置全局密码可重复使用时间和可重复使用的间隔次数
注意,这里的可重复使用时间和可重复使用的间隔次数和过期时间的概念不一样,过期时间指的是密码到这个时间就过期了,就变成不可用了。而可重复使用指的是到指定时间才可以重复使用历史密码,或者密码修改了指定的次数之后,才可以使用历史密码。
我们可以通过下面的方法来设置单个密码可重复使用时间,或者可重复间隔次数,其中:
过期时间表示多久之后,需要修改密码;
过期次数表示每间隔多少次才可以设置重复密码。
这两个功能分别需要使用参数 password_history 和 password_reuse_interval
我们来测试下password_history这个参数:
mysql> alter user yeyz@'127.0.0.1' identified with 'mysql_native_password' by 'yeyz'; Query OK, 0 rows affected (0.01 sec) mysql> mysql> show variables like '%password_history%'; +------------------+-------+ | Variable_name | Value | +------------------+-------+ | password_history | 0 | +------------------+-------+ 1 row in set (0.00 sec) mysql> set global password_history=2; Query OK, 0 rows affected (0.00 sec) ### 第一次修改,成功 mysql> alter user yeyz@'127.0.0.1' identified with 'mysql_native_password' by 'yeyz'; Query OK, 0 rows affected (0.01 sec) ### 第二次修改,报错 mysql> alter user yeyz@'127.0.0.1' identified with 'mysql_native_password' by 'yeyz'; ERROR 3638 (HY000): Cannot use these credentials for 'yeyz@127.0.0.1' because they contradict the password history policy mysql>
可以看到,一开始的时候,这个password_history参数设置为0,我们将它改为2,代表每执行2次密码设置动作,才可以重复之前的密码,也就是不允许本次修改的密码和上次密码一致。然后开始修改密码为之前同样的密码'yeyz',第一次修改的时候成功了,第二次设置密码的时候,直接报错了。
这种方式是通过系统变量的方式来设置密码的有效次数的。
4、设置单个密码可重复使用时间和可重复使用的间隔次数
### 设置密码为每间隔5次才可以重复使用 mysql> create user yeyz3@'127.0.0.1' identified with 'mysql_native_password' by 'yeyz3' password history 5; Query OK, 0 rows affected (0.01 sec) ### 设置密码为每隔5天才可以重复使用 mysql> create user yeyz4@'127.0.0.1' identified with 'mysql_native_password' by 'yeyz4' password reuse interval 5 day; Query OK, 0 rows affected (0.01 sec) ### 设置密码为每隔5天可以重复使用或者每个5次才可以重复使用,取最严格的那个条件 mysql> create user yeyz5@'127.0.0.1' identified with 'mysql_native_password' by 'yeyz5' password reuse interval 5 day password history 5; Query OK, 0 rows affected (0.01 sec) ### 使用默认的全局密码可重复使用策略,也就是password history参数和password reuse interval参数 mysql> create user yeyz6@'127.0.0.1' identified with 'mysql_native_password' by 'yeyz6' password reuse interval default password history default; Query OK, 0 rows affected (0.01 sec)