Password Validation插件用于配置密码策略和对密码进行检查。
功能
- 对于包含明文密码的语句,插件检查密码是否符合密码策略,如果不符合策略,直接返回错误。
作用于ALTER USER
,CREATE USER
,GRANT
,SET PASSWORD
以及使用password()
函数设置密码的情况,直接使用hash字符串的情况下不会检查
mysql> ALTER USER USER() IDENTIFIED BY 'abc';
ERROR 1819 (HY000): Your password does not satisfy the current policy requirements
- 对于
CREATE USER
语句,插件要求语句提供密码并验证密码有效性
即使在创建账号时锁定账号也需要提供密码 - 提供了
VALIDATE_PASSWORD_STRENGTH()
函数用来给密码的安全性进行评分
返回0-100
mysql> SELECT VALIDATE_PASSWORD_STRENGTH('weak');
+------------------------------------+
| VALIDATE_PASSWORD_STRENGTH('weak') |
+------------------------------------+
| 25 |
+------------------------------------+
mysql> SELECT VALIDATE_PASSWORD_STRENGTH('lessweak$_@123');
+----------------------------------------------+
| VALIDATE_PASSWORD_STRENGTH('lessweak$_@123') |
+----------------------------------------------+
| 50 |
+----------------------------------------------+
mysql> SELECT VALIDATE_PASSWORD_STRENGTH('N0Tweak$_@123!');
+----------------------------------------------+
| VALIDATE_PASSWORD_STRENGTH('N0Tweak$_@123!') |
+----------------------------------------------+
| 100 |
+----------------------------------------------+
安装
修改配置文件安装
[mysqld]
plugin-load-add=validate_password.so
在线安装
INSTALL PLUGIN validate_password SONAME 'validate_password.so';
查看插件安装状态
mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
-> FROM INFORMATION_SCHEMA.PLUGINS
-> WHERE PLUGIN_NAME LIKE 'validate%';
+-------------------+---------------+
| PLUGIN_NAME | PLUGIN_STATUS |
+-------------------+---------------+
| validate_password | ACTIVE |
+-------------------+---------------+
在插件已安装的情况下强制激活插件
[mysqld]
plugin-load-add=validate_password.so
validate-password=FORCE_PLUS_PERMANENT
配置
激活插件
--validate-password[=value]
有效值:
ON
OFF
FORCE
FORCE_PLUS_PERMANENT
系统变量
启用validate_password插件后,可以查看到相应的系统变量
mysql> show variables like 'vali%';
+--------------------------------------+--------+
| Variable_name | Value |
+--------------------------------------+--------+
| validate_password_check_user_name | OFF |
| validate_password_dictionary_file | |
| validate_password_length | 8 |
| validate_password_mixed_case_count | 1 |
| validate_password_number_count | 1 |
| validate_password_policy | MEDIUM |
| validate_password_special_char_count | 1 |
+--------------------------------------+--------+
密码策略
--validate-password-policy=value
可能值有三个:
- 0/LOW
只验证长度 - 1/MEDIUM
验证长度,数字,大小写和特殊字符 - 2/STORONG
验证长度,数字,大小写,特殊字符和字典文件
密码是否可以等同用户名
--validate-password-check-user-name[={OFF|ON}]
将设置的密码与当前用户名进行比较,仅比较user()和current_user()中的用户名部分。无论设置哪个用户的密码,都仅与当前用户名进行比较,用户名区分大小写。如果密码与用户名相同或相反,则返回错误
例如,当当前用户为Template1@localhost时,密码不能为1etalpmeT或Template1 但是可以是在用户名的基础上加上其他字符
密码最小长度
--validate-password-length=#
validate-password-length要大于validate_password_number_count + validate_password_special_char_count + (2 * validate_password_mixed_case_count)
密码中数字长度
--validate-password-number-count=#
密码中数字的数量,在validate-password-policy大于1的情况下有效
密码中大小写字母数量
--validate-password-mixed-case-count=#
密码中必须具有指定数量的大写字母和小写字母,在validate-password-policy大于1的情况下有效
密码中特殊字符数量
--validate-password-special-char-count=#
非字母数字的字符数,在validate-password-policy大于1的情况下有效
密码字典
--validate-password-dictionary-file=file_name
在validate-password-policy=2(STRONG)
的情况下生效
变量指定字典文件路径,可以使用相对路径,相对路径是相对于datadir的。
字典文件内容是小写的,每行一个单词,允许的最大文件大小为1MB
密码长度为4(最多100)的每个子字符串与字典文件中的单词进行比较,如果包含字典中存在的单词,就无法创建这个的密码,这种比较不区分大小写。
该选项可以在数据库运行时更改,更改选项时会重新读取字典文件。
状态参数
mysql> show status like 'validate%';
+-----------------------------------------------+---------------------+
| Variable_name | Value |
+-----------------------------------------------+---------------------+
| validate_password_dictionary_file_last_parsed | 2020-03-18 16:24:25 |
| validate_password_dictionary_file_words_count | 5 |
+-----------------------------------------------+---------------------+
上次解析字典文件的时间
validate_password_dictionary_file_last_parsed
字典文件中的单词数量
validate_password_dictionary_file_words_count