在 MySQL 中，即使用戶只有 SELECT 權限，仍然可以執(zhí)行 SHOW PROCESSLIST 和 KILL 命令。原因如下：

1. SHOW PROCESSLIST 不需要特殊權限

• 默認情況下，任何用戶都可以執(zhí)行 SHOW PROCESSLIST，即使只有 USAGE 權限（最低權限）。
• 但如果 MySQL 啟用了 --skip-show-database 啟動選項，普通用戶可能看不到不屬于自己的進程。

2. KILL 命令的權限依賴

• KILL 命令的執(zhí)行權限取決于 PROCESS 或 SUPER 權限：
  • 如果用戶有 PROCESS 權限，可以 KILL 自己的會話（即自己建立的連接）。
  • 如果用戶有 SUPER 權限，可以 KILL 任意會話（包括其他用戶的會話）。
• 即使只授予 SELECT 權限，某些情況下用戶仍然可以 KILL 自己的會話：
  • 在 MySQL 5.7+，如果用戶有 CONNECTION_ADMIN（或 SUPER 權限的替代），可能仍然可以 KILL 會話。
  • 在 MySQL 8.0+，引入了更細粒度的權限控制，但默認情況下，某些操作仍然可能允許 KILL。

3. 為什么 SELECT 權限的用戶可以 KILL？

• 可能的原因：
  1. 用戶隱式擁有 PROCESS 權限（檢查 mysql.user 表確認）。
  2. MySQL 的版本差異（某些版本默認允許 KILL 自己的會話）。
  3. 用戶屬于某個角色（MySQL 8.0+），該角色可能授予了 PROCESS 或 KILL 權限。

如何徹底禁止用戶執(zhí)行 KILL？

方法 1：明確撤銷 PROCESS 和 SUPER 權限

REVOKE PROCESS, SUPER ON *.* FROM 'query'@'%';
FLUSH PRIVILEGES;

• 這樣用戶只能 SHOW PROCESSLIST，但無法 KILL 任何會話（包括自己的）。

方法 2：限制 SHOW PROCESSLIST（可選）

如果希望用戶完全看不到進程列表：

REVOKE PROCESS ON *.* FROM 'query'@'%';
FLUSH PRIVILEGES;

• 這樣 SHOW PROCESSLIST 僅顯示用戶自己的會話（而不是所有會話）。

方法 3：使用 MySQL 8.0+ 的細粒度權限

在 MySQL 8.0+，可以更精確控制：

-- 禁止 KILL 其他會話
REVOKE SYSTEM_USER, SYSTEM_VARIABLES_ADMIN, SESSION_VARIABLES_ADMIN ON *.* FROM 'query'@'%';

-- 確保沒有 PROCESS 權限
REVOKE PROCESS ON *.* FROM 'query'@'%';
FLUSH PRIVILEGES;

驗證用戶的權限

-- 查看用戶權限
SHOW GRANTS FOR 'query'@'%';

-- 檢查 PROCESS 權限
SELECT * FROM mysql.user WHERE user='query'\G

• 如果 Process_priv = 'Y'，說明用戶有 PROCESS 權限，可以 KILL 自己的會話。

總結

• SELECT 權限本身不會允許 KILL，但 PROCESS 權限會。
• 要禁止 KILL，必須明確撤銷 PROCESS 和 SUPER 權限。
• MySQL 8.0+ 提供了更細粒度的權限控制，可以更嚴格限制 KILL 操作。

如果你的 query 用戶仍然可以 KILL，請檢查其完整權限（可能有隱藏的 PROCESS 或角色權限）。

以上就是MySQL徹底禁止用戶執(zhí)行KILL的解決方法的詳細內容，更多關于MySQL禁止用戶執(zhí)行KILL的資料請關注腳本之家其它相關文章！

最新評論