昨天某位客戶向我咨詢這樣一個(gè)問(wèn)題：他通過(guò)本地 MySQL 命令行連接數(shù)據(jù)庫(kù)發(fā)現(xiàn)管理員不需要驗(yàn)證密碼即可進(jìn)行后續(xù)操作。為了查明原因，他嘗試過(guò)修改管理員密碼，依然無(wú)效。為了對(duì)比，他還特意創(chuàng)建了一個(gè)帶密碼的新用戶，通過(guò) MySQL 命令行可以正常進(jìn)行密碼驗(yàn)證。

經(jīng)過(guò)對(duì)他遇到的問(wèn)題做了詳細(xì)了解后，我大概知道問(wèn)題出在哪，不過(guò)還需要繼續(xù)驗(yàn)證。

此類(lèi)問(wèn)題大致會(huì)有如下幾種原因：

• 此用戶本身并沒(méi)有設(shè)置密碼。

• 配置文件里開(kāi)啟 skip-grant-tables 跳過(guò)授權(quán)表。

• 配置文件里有明文 password 選項(xiàng)來(lái)跳過(guò)密碼。

• 用戶的認(rèn)證插件有可能使用 auth_socket 。

我先來(lái)大致復(fù)現(xiàn)下這個(gè)問(wèn)題?，F(xiàn)象如下：MySQL 命令行客戶端打印“hello world ”不需要驗(yàn)證密碼。

root@ytt-large:/home/ytt# mysql -e "select 'hello world'"
+-------------+
| hello world |
+-------------+
| hello world |
+-------------+

換個(gè)用戶就必需驗(yàn)證密碼后方可正常打印字符串：

root@ytt-large:/home/ytt# mysql -uadmin -e "select 'hello world'"
ERROR 1045 (28000): Access denied for user 'admin'@'localhost' (using password: NO)
root@ytt-large:/home/ytt# mysql -uadmin -p -e "select 'hello world'"
Enter password: 
+-------------+
| hello world |
+-------------+
| hello world |
+-------------+

嘗試修改管理員密碼，依然不需要驗(yàn)證密碼即可執(zhí)行命令：看結(jié)果好像是修改密碼無(wú)效。

root@ytt-large:~# mysql
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 35
Server version: 8.0.29 MySQL Community Server - GPL
...
mysql> alter user root@localhost identified by 'root';
Query OK, 0 rows affected (0.00 sec)
mysql> exit
Bye
root@ytt-large:/home/ytt# mysql -e "select 'hello world'"
+-------------+
| hello world |
+-------------+
| hello world |
+-------------+

那接下來(lái)基于我復(fù)現(xiàn)的場(chǎng)景以及我開(kāi)頭想到的可能原因來(lái)逐步判斷到底問(wèn)題出在哪里。

• 此用戶本身并沒(méi)有設(shè)置密碼。

這個(gè)原因可以快速排除掉！已經(jīng)執(zhí)行過(guò)一次 alter user 改密碼的操作，所以不可能沒(méi)有密碼。

• 配置文件里開(kāi)啟 skip-grant-tables 跳過(guò)授權(quán)表。

這個(gè)原因也可以快速排除掉！如果是因?yàn)殚_(kāi)啟這個(gè)選項(xiàng)，那必定所有用戶都不會(huì)驗(yàn)證密碼，而不只是針對(duì)管理員賬號(hào)本身。

• 配置文件里有明文 password 選項(xiàng)來(lái)跳過(guò)密碼。

有可能是這個(gè)原因?？梢杂霉ぞ?my_print_defaults 來(lái)打印相關(guān)配置、或者直接手動(dòng)檢查配置文件有沒(méi)有[client] 、[mysql] 等段里包含有 password 明文選項(xiàng)。例如：

root@ytt-large:/home/ytt# my_print_defaults /etc/mysql/my.cnf client mysql
--password=*****

結(jié)果確實(shí)是設(shè)置了 password 選項(xiàng)，但是仔細(xì)想想，有點(diǎn)站不住腳。如果是因?yàn)檫@個(gè)原因，那修改密碼后，為什么依然不驗(yàn)證新密碼？因此這個(gè)可能性也被排除掉。

• 用戶的認(rèn)證插件有可能使用 auth_socket 。

極有可能是這個(gè)原因！

插件 auth_socket MySQL 官網(wǎng)全稱(chēng)為：Socket Peer-Credential Pluggable Authentication（套接字對(duì)等憑據(jù)可插拔的身份驗(yàn)證）。

官方文檔地址：https://dev.mysql.com/doc/refman/8.0/en/socket-pluggable-authentication.html

閱讀官方文檔后可以得出的結(jié)論為插件 auth_socket 不需要驗(yàn)證密碼即可進(jìn)行本地認(rèn)證！它有兩個(gè)認(rèn)證條件：

• 客戶端通過(guò)本地 unix socket 文件連接 MySQL 服務(wù)端。

• 通過(guò) socket 的選項(xiàng) SO_PEERCRED 來(lái)獲取運(yùn)行客戶端的 OS 用戶名，隨后判斷 OS 用戶名是否在 mysql.user 表里。

另外，想了解更多關(guān)于 socket 的選項(xiàng) SO_PEERCRED 可以參考這個(gè)網(wǎng)址：https://man7.org/linux/man-pages/man7/unix.7.html

那我們接下來(lái)驗(yàn)證結(jié)論是否正確。查看當(dāng)前登錄用戶是不是 root@localhost ：確認(rèn)無(wú)疑。

root@ytt-large:/home/ytt# mysql  -e "select user(),current_user()"
   +----------------+----------------+
   | user()         | current_user() |
   +----------------+----------------+
   | root@localhost | root@localhost |
   +----------------+----------------+

檢查 mysql.user 表記錄：檢查字段 plugin、authentication_string（此字段有可能不為空）。

mysql> select plugin,authentication_string from mysql.user where user = 'root' ;
   +-------------+-----------------------+
   | plugin      | authentication_string |
   +-------------+-----------------------+
   | auth_socket |                       |
   +-------------+-----------------------+
   1 row in set (0.01 sec)

確認(rèn)管理員賬號(hào)插件為 auth_socket ，難怪改密碼無(wú)效。接下來(lái)把插件改為非 auth_socket 即可。

mysql> alter user root@localhost identified with mysql_native_password by 'root';
   Query OK, 0 rows affected (0.04 sec)

再次執(zhí)行 MySQL 命令行：無(wú)密碼正常報(bào)錯(cuò)，輸入正確密碼后執(zhí)行成功。

root@ytt-large:/home/ytt# mysql -p -e "select 'hello world'"
   ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
   root@ytt-large:/home/ytt# mysql -proot -e "select 'hello world'"
   mysql: [Warning] Using a password on the command line interface can be insecure.
   +-------------+
   | hello world |
   +-------------+
   | hello world |
   +-------------+

結(jié)語(yǔ)：

一般在遇到 MySQL 問(wèn)題時(shí)，建議對(duì) MySQL 系統(tǒng)函數(shù)、數(shù)據(jù)庫(kù)內(nèi)部對(duì)象等進(jìn)行檢索而不是直接打印字符串，有時(shí)候可能對(duì)快速定位問(wèn)題原因有幫助。

到此這篇關(guān)于MySQL設(shè)置管理員密碼無(wú)法生效的問(wèn)題解析的文章就介紹到這了,更多相關(guān)MySQ管理員密碼無(wú)法生效內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論