前言
一直以來,對于MySQL root密碼的忘記,以為只有一種解法-skip-grant-tables。
問了下群里的大咖,第一反應也是skip-grant-tables。通過搜索引擎簡單搜索了下,無論是百度,抑或Google,只要是用中文搜索,首頁都是這種解法。可見這種解法在某種程度上已經占據了使用者的心智。下面具體來看看。
skip-grant-tables的解法
首先,關閉實例
這里,只能通過kill mysqld進程的方式。
注意:不是mysqld_safe進程,也切忌使用kill -9。
1 | # ps -ef |grep mysqld |
2 | root 6220 6171 0 08:14 pts/0 00:00:00 /bin/sh bin/mysqld_safe --defaults-file=my.cnf |
3 | mysql 6347 6220 0 08:14 pts/0 00:00:01 /usr/local/mysql57/bin/mysqld --defaults-file=my.cnf --basedir=/usr/local/mysql57 --datadir=/usr/local/mysql57/data --plugin-dir=/usr/local/mysql57/lib/plugin --user=mysql --log-error=slowtech.err --pid-file=slowtech.pid --socket=/usr/local/mysql57/data/mysql.sock --port=3307 |
4 | root 6418 6171 0 08:17 pts/0 00:00:00 grep --color=auto mysqld |
5 |
6 | # kill 6347 |
使用--skip-grant-tables參數,重啟實例
1 | # bin/mysqld_safe --defaults-file=my.cnf --skip-grant-tables --skip-networking & |
設置了該參數,則實例在啟動過程中會跳過權限表的加載,這就意味著任何用戶都能登錄進來,并進行任何操作,相當不安全。
建議同時添加--skip-networking參數。其會讓實例關閉監聽端口,自然也就無法建立TCP連接,而只能通過本地socket進行連接。
MySQL8.0就是這么做的,在設置了--skip-grant-tables參數的同時會自動開啟--skip-networking。
修改密碼
1 | # mysql -S /usr/local/mysql57/data/mysql.sock |
2 |
3 | mysql> update mysql.user set authentication_string=password('123456') where host='localhost' and user='root'; |
4 | Query OK, 0 rows affected, 1 warning (0.00 sec) |
5 | Rows matched: 1 Changed: 0 Warnings: 1 |
6 |
7 | mysql> flush privileges; |
8 | Query OK, 0 rows affected (0.00 sec) |
注意:
這里的update語句針對的是MySQL 5.7的操作,如果是在5.6版本,修改的應該是password字段,而不是authentication_string。
1 | update mysql.user set password=password('123456') where host='localhost' and user='root'; |
而在MySQL 8.0.11版本中,這種方式基本不可行,因為其已移除了PASSWORD()函數及不再支持SET PASSWORD ... = PASSWORD ('auth_string')語法。
不難發現,這種方式的可移植性實在太差,三個不同的版本,就先后經歷了列名的改變,及命令的不可用。
下面,介紹另外一種更通用的做法,還是在skip-grant-tables的基礎上。
與上面不同的是,其會先通過flush privileges操作觸發權限表的加載,再使用alter user語句修改root用戶的密碼,如:
01 | # bin/mysql -S /usr/local/mysql57/data/mysql.sock |
02 |
03 | mysql> alter user 'root'@'localhost' identified by '123'; |
04 | ERROR 1290 (HY000): The MySQL server is running with the --skip-grant-tables option so it cannot execute this statement |
05 |
06 | mysql> flush privileges; |
07 | Query OK, 0 rows affected (0.00 sec) |
08 |
09 | mysql> alter user 'root'@'localhost' identified by '123'; |
10 | Query OK, 0 rows affected (0.00 sec) |
免密碼登錄進來后,直接執行alter user操作是不行的,因為此時的權限表還沒加載。可先通過flush privileges操作觸發權限表的加載,再執行alter user操作。
需要注意的是,通過alter user修改密碼只適用于MySQL5.7和8.0,如果是MySQL 5.6,此處可寫成
1 | update mysql.user set password=password('123456') where host='localhost' and user='root'; |
最后重啟實例
1 | mysql> shutdown; |
2 |
3 | # bin/mysqld_safe --defaults-file=my.cnf & |
需要注意的是,如果在啟動的過程中沒有指定--skip-networking參數,無需重啟實例。但在網上看到的絕大多數方案,都是沒有指定該參數,但重啟了實例,實在沒有必要。
下面對這個方案做個總結:
1. 如果只添加了--skip-grant-tables,修改完密碼后,其實無需重啟,執行flush privileges即可。
2. 從安全角度出發,建議加上--skip-networking。但因其是靜態參數,將其剔除掉需要重啟實例。
3. 加上--skip-networking,雖然可以屏蔽掉TCP連接,但對于本地其它用戶,只要有socket文件的可讀權限,都能無密碼登錄。還是存在安全隱患。
4. 不建議通過update的方式修改密碼,更通用的其實是alter user。
更優雅的解法
相對于skip-grant-tables方案,我們來看看另外一種更優雅的解法,其只會重啟一次,且基本上不存在安全隱患。
首先,依舊是關閉實例
其次,創建一個sql文件
寫上密碼修改語句
1 | # vim init.sql |
2 | alter user 'root'@'localhost' identified by '123456'; |
最后,使用--init-file參數,啟動實例
1 | # bin/mysqld_safe --defaults-file=my.cnf --init-file=/usr/local/mysql57/init.sql & |
實例啟動成功后,密碼即修改完畢~
如果mysql實例是通過服務腳本來管理的,除了創建sql文件,整個操作可簡化為一步。
1 | # service mysqld restart --init-file=/usr/local/mysql57/init.sql |
注意:該操作只適用于/etc/init.d/mysqld這種服務管理方式,不適用于RHEL 7新推出的systemd。
總結
以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,如果有疑問大家可以留言交流,謝謝大家對服務器之家的支持。
