El mundo de MySQL & MariaDB

Guía de permisos MySQL: configuración y buenas prácticas

Usuarios y permisos
目次

1. Qué son los permisos de usuario en MySQL

Los permisos de usuario de MySQL son configuraciones que controlan las operaciones que cada usuario puede ejecutar dentro de la base de datos. Con una configuración adecuada de permisos, se pueden prevenir accesos no autorizados y operaciones no deseadas.

Tipos principales de permisos

  • SELECT: Permite leer datos.
  • INSERT: Permite agregar datos.
  • UPDATE: Permite modificar datos existentes.
  • DELETE: Permite eliminar datos.
  • CREATE: Permite crear nuevas bases de datos o tablas.
  • DROP: Permite eliminar bases de datos o tablas existentes.
  • ALL PRIVILEGES: Otorga todos los permisos al usuario, incluidos los anteriores.
Es importante reforzar la seguridad de la base de datos configurando los permisos de manera adecuada, de modo que cada usuario solo pueda ejecutar las operaciones necesarias.

2. Método para verificar los permisos de usuario

En MySQL, se pueden verificar los permisos de usuario con comandos específicos.

Verificación del usuario actual

Para comprobar el nombre de usuario que se está utilizando en la sesión actual, use el siguiente comando.
SELECT USER();
Además, para verificar el nombre de usuario autenticado y el nombre de host, use el siguiente comando.
SELECT CURRENT_USER();

Verificación de permisos de un usuario específico

Para comprobar los permisos otorgados a un usuario específico, use el siguiente comando.
SHOW GRANTS FOR 'nombre de usuario'@'nombre de host';
Por ejemplo, para verificar los permisos de example_user:
SHOW GRANTS FOR 'example_user'@'localhost';
Este comando muestra todos los permisos otorgados a ese usuario.

Mostrar la lista de todos los usuarios

Para ver todos los usuarios y la información de host en la base de datos, use el siguiente comando.
SELECT user, host FROM mysql.user;
Este comando obtiene los nombres de usuario y host de la tabla user en la base de datos mysql y muestra la lista completa de usuarios.

3. Concesión y revocación de permisos de usuario

En MySQL, puedes conceder o revocar permisos a los usuarios. Una gestión adecuada de los permisos permite mejorar la seguridad.

Concesión de permisos

Para conceder permisos a un nuevo usuario, se utiliza la sentencia GRANT.
GRANT permiso ON base_de_datos.* TO 'usuario'@'host';
Por ejemplo, para conceder el permiso SELECT a example_user sobre todas las tablas de example_db:
GRANT SELECT ON example_db.* TO 'example_user'@'localhost';

Conceder varios permisos a la vez

También es posible conceder varios permisos simultáneamente.
GRANT SELECT, INSERT, UPDATE ON example_db.* TO 'example_user'@'localhost';
De esta manera, puedes conceder varios permisos de forma eficiente con un solo comando.

Revocación de permisos

Para eliminar permisos innecesarios, se utiliza la sentencia REVOKE.
REVOKE permiso ON base_de_datos.* FROM 'usuario'@'host';
Por ejemplo, para eliminar el permiso INSERT de example_user sobre example_db:
REVOKE INSERT ON example_db.* FROM 'example_user'@'localhost';
Además, para revocar todos los permisos, se usa ALL PRIVILEGES de la siguiente manera.
REVOKE ALL PRIVILEGES ON example_db.* FROM 'example_user'@'localhost';

4. Mejores prácticas de gestión de permisos

Una gestión de permisos eficaz mejora la seguridad y la eficiencia operativa de la base de datos. A continuación se presentan las mejores prácticas.

Principio de privilegio mínimo (Least Privilege Principle)

Al otorgar a los usuarios solo los permisos mínimos necesarios para realizar sus tareas, se reduce el riesgo de errores operativos y accesos no autorizados.

Revisión periódica de permisos

Según los cambios en los roles y las tareas de los usuarios, revise periódicamente los permisos y elimine rápidamente los que no sean necesarios.

Implementación de control de acceso basado en roles (RBAC)

Al crear grupos de usuarios (roles) con conjuntos de permisos comunes y asignar roles a los usuarios, la gestión de permisos se vuelve más simple y eficiente.

Uso de registros de auditoría

Al registrar el historial de acciones de los usuarios como registros de auditoría y revisarlos periódicamente, se pueden detectar tempranamente operaciones no autorizadas o comportamientos anómalos.

5. Preguntas frecuentes (FAQ)

Q1: ¿Cómo verificar si un usuario específico puede acceder a varias bases de datos?

SHOW GRANTS FOR 'nombre de usuario'@'nombre de host'; al usarlo, se muestra una lista de todos los privilegios que tiene ese usuario sobre las bases de datos.

Q2: ¿Cómo conceder o revocar varios privilegios a la vez?

Usando las sentencias GRANT y REVOKE, se pueden manejar varios privilegios a la vez separándolos con comas. Por ejemplo, se escribe GRANT SELECT, INSERT, UPDATE ON example_db.* TO 'username'@'localhost';.

Q3: ¿Cómo restaurar privilegios eliminados por error?

Si se eliminan privilegios, es necesario volver a concederlos usando el comando GRANT. Se recomienda anotar los privilegios eliminados o mantener una copia de seguridad antes de los cambios.

Q4: ¿Es posible conceder privilegios solo a una tabla específica?

Sí. Especificando en el formato GRANT nombre de privilegio ON nombre de base de datos.nombre de tabla TO 'nombre de usuario'@'nombre de host';, se pueden conceder privilegios únicamente a la tabla especificada.

6. Resumen

La gestión de permisos de usuarios en MySQL afecta significativamente la seguridad de la base de datos y la seguridad de las operaciones. Con una gestión adecuada de permisos, mejoremos la seguridad y la eficiencia de los datos.

Puntos clave de la gestión de permisos

  • Cumplir con el principio de privilegio mínimo
  • Realizar revisiones periódicas
  • Optimizar la gestión de permisos mediante control de acceso basado en roles
  • Utilizar los registros de auditoría para detectar y monitorear operaciones anómalas
Sigamos estas mejores prácticas para lograr una operación segura y eficiente de la base de datos MySQL.