Gestión de Usuarios y Permisos en Bases de Datos MySQL

Resumen

La gestión de usuarios y permisos en MySQL es un aspecto fundamental para mantener la seguridad e integridad de nuestras bases de datos. Muchos problemas de seguridad y pérdida de datos pueden evitarse simplemente implementando una estrategia adecuada de permisos granulares, en lugar de compartir credenciales de administrador. Veamos cómo podemos crear y administrar usuarios en MySQL de manera efectiva y segura.

¿Cómo crear usuarios en MySQL y por qué es importante?

Uno de los mayores problemas en entornos de desarrollo y producción es el uso compartido de credenciales administrativas. Esta práctica, aunque común, representa un grave riesgo de seguridad. Cuando un administrador comparte su usuario y contraseña, pierde la capacidad de rastrear quién realizó qué cambios en la base de datos.

MySQL ofrece un sistema robusto para crear usuarios con permisos específicos. Esto permite:

Control granular de acciones: determinar exactamente qué puede y qué no puede hacer cada usuario
Restricción de conexiones: limitar desde qué ubicaciones puede conectarse un usuario
Trazabilidad: identificar quién realizó cada operación

Para crear un usuario nuevo en MySQL, utilizamos la siguiente sintaxis:

CREATE USER 'username'@'host' IDENTIFIED BY 'password';

Por ejemplo:

CREATE USER 'becoplatzi'@'%' IDENTIFIED BY 'beco123';

En este comando:

becoplatzi es el nombre del usuario
% es un comodín que permite la conexión desde cualquier host
beco123 es la contraseña

¿Cómo restringir el acceso por ubicación?

Podemos limitar desde dónde puede conectarse un usuario:

Para permitir conexiones solo desde el servidor local: 'username'@'localhost'
Para permitir conexiones desde cualquier lugar: 'username'@'%'
Para permitir conexiones desde una IP específica: 'username'@'192.168.0.101'

Esta capacidad de restricción por ubicación añade una capa adicional de seguridad a nuestras bases de datos.

¿Qué permisos podemos asignar a los usuarios en MySQL?

Una vez creado el usuario, debemos asignarle permisos específicos. Los permisos más comunes son:

CREATE: permite crear nuevas tablas o bases de datos
ALTER: permite modificar la estructura de tablas existentes
DROP: permite eliminar tablas o bases de datos
INSERT: permite insertar datos en las tablas
UPDATE: permite modificar datos existentes
DELETE: permite eliminar registros
SELECT: permite consultar datos
REFERENCES: permite crear relaciones entre tablas
INDEX: permite crear y eliminar índices

Para asignar estos permisos, utilizamos el comando GRANT:

GRANT permission1, permission2, ... ON database_name.table_name TO 'username'@'host' [WITH GRANT OPTION];

Por ejemplo:

GRANT CREATE, ALTER, DROP, INSERT, UPDATE, DELETE, SELECT, REFERENCES, INDEX ON platzisql.* TO 'becoplatzi'@'%' WITH GRANT OPTION;

La opción WITH GRANT OPTION permite al usuario otorgar sus propios permisos a otros usuarios.

¿Cómo asignar permisos según el rol del usuario?

Para un DBA (Administrador de Base de Datos):

GRANT CREATE, ALTER, DROP, INSERT, UPDATE, DELETE, SELECT, REFERENCES, INDEX ON database.* TO 'dba_user'@'host';

Para una aplicación:

GRANT INSERT, UPDATE, SELECT ON database.* TO 'app_user'@'host';

Para un analista de datos:

GRANT SELECT, INDEX ON database.* TO 'analyst_user'@'host';

Para un desarrollador:

GRANT CREATE, ALTER, INSERT, SELECT, REFERENCES, INDEX ON database.* TO 'dev_user'@'host';

¿Cómo verificar y utilizar los usuarios creados?

Para ver los usuarios existentes en MySQL:

SELECT host, user FROM mysql.user;

Para conectarse con un usuario específico:

mysql -u username -p

Una vez conectado, podemos verificar a qué bases de datos tenemos acceso:

SHOW DATABASES;

Y para usar una base de datos específica:

USE database_name;
SHOW TABLES;

Nota importante: MySQL utiliza sus propias tablas para administrar usuarios y permisos. Estas tablas se encuentran en la base de datos mysql, lo que hace que el sistema sea transparente y robusto.

La gestión adecuada de usuarios y permisos es fundamental para mantener la seguridad e integridad de nuestras bases de datos. Implementar una estrategia clara de asignación de permisos según roles específicos nos ayudará a prevenir problemas y a mantener un control efectivo sobre quién puede hacer qué en nuestro sistema. ¿Qué estrategias de gestión de usuarios utilizas en tus proyectos? Comparte tu experiencia en los comentarios.

Jonathan Mendoza

student•

Recomendaciones:

Usuario de BD que la app usa:

INSERT
UPDATE
DELETE (podría no darse, solo que use borrado lógico)
SELECT

Usuario DBA:

CREATE
ALTER
DROP
INSERT
UPDATE
DELETE
SELECT
REFERENCES
INDEX
GRANT (create, alter, drop, insert, update, select, references, index)

Usuario Analista:

SELECT
INDEX

Usuario Dev:

CREATE
ALTER
INSERT
UPDATE
SELECT
REFERENCES
INDEX

Alejandro Cáceres

student••

Crear una buena contraseña para un usuario

MySQL tiene políticas muy fuertes para crear contraseñas robustas para los usuarios

Para ver las configuraciones que tiene MySQL para aprobar una contraseña puedes hacerlo con el siguiente comando

SHOW VARIABLES LIKE 'validate_password%';

El resultado debería verse más o menos así

+--------------------------------------+-------+
| Variable_name                        | Value |
+--------------------------------------+-------+
| validate_password.check_user_name    | ON    |
| validate_password.dictionary_file    |       |
| validate_password.length             | 6     |
| validate_password.mixed_case_count   | 1     |
| validate_password.number_count       | 1     |
| validate_password.policy             | LOW   |
| validate_password.special_char_count | 1     |
+--------------------------------------+-------+

SQL también nos da una herramienta que nos da una especie de puntaje para nuestro password

SELECT VALIDATE_PASSWORD_STRENGTH('weak');
+------------------------------------+
| VALIDATE_PASSWORD_STRENGTH('weak') |
+------------------------------------+
|                                 25 |
+------------------------------------+
SELECT VALIDATE_PASSWORD_STRENGTH('lessweak$_@123');
+----------------------------------------------+
| VALIDATE_PASSWORD_STRENGTH('lessweak$_@123') |
+----------------------------------------------+
|                                           50 |
+----------------------------------------------+
SELECT VALIDATE_PASSWORD_STRENGTH('N0Tweak$_@123!');
+----------------------------------------------+
| VALIDATE_PASSWORD_STRENGTH('N0Tweak$_@123!') |
+----------------------------------------------+
|                                          100 |
+----------------------------------------------+

También SQL nos permite configurar la complejidad de nuestras contraseñas que puede aprobar Unos ejemplos serían

SET GLOBAL validate_password.length = 6;
SET GLOBAL validate_password.number_count = 6;

Haciendo pruebas esto fue lo que entendí

PD: Todo el crédito de este comentario se lo lleva un usuario de stackoverflow.com

Les dejo el link:

Bryan Castano

student•

It is Done :

SELECT user, host FROM mysql.user WHERE host = 'localhost';

+------------------+-----------+

| user | host |

+------------------+-----------+

| beauLoader | localhost |

| dbSettler | localhost |

| dbkeeper | localhost |

| debian-sys-maint | localhost |

| myrtledb | localhost |

| mysql.infoschema | localhost |

| mysql.session | localhost |

| mysql.sys | localhost |

| root | localhost |

+------------------+-----------+

9 rows in set (0,00 sec)

Si quisiera darle permiso a un usuario en una base de datos en otro servidor <> a mi localghost escribiria su Static IP en lugar de locahost. el resto con privilegios limitados.

+--------------------------------------+-------+
| Variable_name                        | Value |
+--------------------------------------+-------+
| validate_password.check_user_name    | ON    |
| validate_password.dictionary_file    |       |
| validate_password.length             | 6     |
| validate_password.mixed_case_count   | 1     |
| validate_password.number_count       | 1     |
| validate_password.policy             | LOW   |
| validate_password.special_char_count | 1     |
+--------------------------------------+-------+

SELECT VALIDATE_PASSWORD_STRENGTH('weak');
+------------------------------------+
| VALIDATE_PASSWORD_STRENGTH('weak') |
+------------------------------------+
|                                 25 |
+------------------------------------+
SELECT VALIDATE_PASSWORD_STRENGTH('lessweak$_@123');
+----------------------------------------------+
| VALIDATE_PASSWORD_STRENGTH('lessweak$_@123') |
+----------------------------------------------+
|                                           50 |
+----------------------------------------------+
SELECT VALIDATE_PASSWORD_STRENGTH('N0Tweak$_@123!');
+----------------------------------------------+
| VALIDATE_PASSWORD_STRENGTH('N0Tweak$_@123!') |
+----------------------------------------------+
|                                          100 |
+----------------------------------------------+

Gestión de Usuarios y Permisos en Bases de Datos MySQL

Consultas y Transformación Avanzada de Datos

Curso Avanzado de MySQL: Vistas, Triggers y Columnas Generadas

Buenas prácticas avanzadas en MySQL: optimización y superqueries

Consultas Avanzadas en SQL: Inteligencia en Columnas

Columnas Generadas en MySQL: Automatización de Operaciones

Generación de Slugs SEO-Friendly en MySQL

Automatización, Reutilización y Eficiencia en Consultas

Creación y Uso de Vistas en Bases de Datos MySQL

Creación de Vistas Materializadas en MySQL

Creación y Uso de Triggers en MySQL para Actualizar Vistas Materializadas

Creación de Vistas Materializadas en MySQL con Triggers

Llaves e índices en bases de datos MySQL

Trabajo con Datos Avanzados (JSON)

Manipulación de Columnas JSON en MySQL: Creación y Modificación

Búsqueda y Manipulación de Datos JSON en MySQL

Uso del Left Join en MySQL para Consultas Avanzadas

Engines y Codificaciones en MySQL: MyISAM vs InnoDB y UTF8MB4