MySQL インストールプロセスの一環として、付与テーブルを含む mysql データベースを設定します。

mysql.user 付与テーブルは、初期 MySQL ユーザーアカウントとそのアクセス権限を定義します。

mysql.user テーブルにどのアカウントが存在するか、それらのパスワードが空かどうかを表示するには、次のステートメントを使用します。

mysql> SELECT User, Host, Password FROM mysql.user;
+------+--------------------+----------+
| User | Host               | Password |
+------+--------------------+----------+
| root | localhost          |          |
| root | myhost.example.com |          |
| root | 127.0.0.1          |          |
| root | ::1                |          |
|      | localhost          |          |
|      | myhost.example.com |          |
+------+--------------------+----------+

この出力は、いくつかの root アカウントと匿名ユーザーアカウントがあり、いずれにもパスワードがないことを示しています。使用しているシステムでは出力が異なる場合がありますが、空のパスワードのアカウントが存在するということは、何らかの対処をするまで MySQL インストールが保護されていないということを意味します。

さらに、mysql.db テーブルにはすべてのアカウントが test データベースおよび test_ で始まる名前を持つその他のデータベースにアクセスすることを許可する行が含まれます。これは、デフォルトの匿名アカウントのように、そうでなければ特別な権限を持たないアカウントにも当てはまります。これはテスト用には便利ですが、本番サーバーでは推奨されません。データベースへのアクセスを、その目的のために明示的に許可を付与されたアカウントのみに制限する場合は、管理者は mysql.db テーブルのこれらの行を削除するとよいでしょう。

次の手順では、初期 MySQL アカウントにパスワードを設定する方法を、最初に root アカウント、次に匿名アカウントの順で説明します。この手順では、匿名アクセスをまったく許可しない場合に、匿名アカウントを削除する方法にも触れ、データベースをテストするための寛容なアクセスを削除する方法も説明します。例の中の newpwd は使用するパスワードに置き換えてください。host_name はサーバーのホスト名に置き換えます。この名前は、前述の SELECT ステートメントの出力から判断できます。示された出力では、host_name は myhost.example.com です。

追加のセットアップやテストを実行する間、パスワードを指定する必要を避けるために、パスワードの設定を遅らせたい場合があります。しかし、インストールを本番用に使用する前にはそれらを忘れずに設定してください。

追加のアカウントをセットアップするには、セクション6.3.2「ユーザーアカウントの追加」を参照してください。

root アカウントのパスワードの割り当て

root アカウントのパスワードは、いくつかの方法でセットできます。次の説明では 3 種類の方法を示します。

SET PASSWORD を使用してパスワードを割り当てるには、サーバーに root として接続し、SET PASSWORD ステートメントを、mysql.user テーブルにリストされている各 root アカウントに対して発行します。PASSWORD() 関数を使用してパスワードを忘れずに暗号化します。

Windows では、次のようにします。

shell> mysql -u root
mysql> SET PASSWORD FOR 'root'@'localhost' = PASSWORD('newpwd');
mysql> SET PASSWORD FOR 'root'@'127.0.0.1' = PASSWORD('newpwd');
mysql> SET PASSWORD FOR 'root'@'::1' = PASSWORD('newpwd');
mysql> SET PASSWORD FOR 'root'@'%' = PASSWORD('newpwd');

mysql.user テーブルに、ホスト値が % である root アカウントがない場合は、最後のステートメントは不要です。

Unix では、次のようにします。

shell> mysql -u root
mysql> SET PASSWORD FOR 'root'@'localhost' = PASSWORD('newpwd');
mysql> SET PASSWORD FOR 'root'@'127.0.0.1' = PASSWORD('newpwd');
mysql> SET PASSWORD FOR 'root'@'::1' = PASSWORD('newpwd');
mysql> SET PASSWORD FOR 'root'@'host_name' = PASSWORD('newpwd');

UPDATE を使用して mysql.user テーブルを直接変更することで、すべての root アカウントにパスワードを割り当てる単独のステートメントを使用することもできます。この方法はどのプラットフォームでも機能します。

shell> mysql -u root
mysql> UPDATE mysql.user SET Password = PASSWORD('newpwd')
    ->     WHERE User = 'root';
mysql> FLUSH PRIVILEGES;

FLUSH ステートメントにより、サーバーが付与テーブルを再度読み取ります。それがないと、パスワードの変更はサーバーを再起動するまでサーバーには認識されません。

パスワードを root アカウントに mysqladmin を使用して割り当てるには、次のコマンドを実行します。

shell> mysqladmin -u root password "newpwd"
shell> mysqladmin -u root -h host_name password "newpwd"

これらのコマンドは Windows および Unix の両方に該当します。パスワードを囲む二重引用符は必ずしも常に必要なわけではありませんが、パスワードにスペースその他のコマンドインタプリタにとって特殊な文字が含まれる場合は使用するべきです。

mysqladmin を使用して root アカウントのパスワードを設定する方法は、'root'@'127.0.0.1' or 'root'@'::1' アカウントでは機能しません。前述の SET PASSWORD の方法を使用します。

root の設定後は、root としてサーバーに接続するたびに適切なパスワードを提供する必要があります。たとえば、mysqladmin でサーバーをシャットダウンするには、次のコマンドを使用します。

shell> mysqladmin -u root -p shutdown
Enter password: (enter root password here)

匿名アカウントのパスワードの割り当て

次の手順の mysql コマンドは、前述の手順を使用して root のパスワードを設定し、サーバーへの接続時にそのパスワードを指定しなければならないことを前提として、-p オプションを含んでいます。

匿名アカウントにパスワードを割り当てるには、サーバーに root として接続してから、SET PASSWORD または UPDATE を使用します。PASSWORD() 関数を使用してパスワードを忘れずに暗号化します。

Windows で SET PASSWORD を使用するには、次のようにします。

shell> mysql -u root -p
Enter password: (enter root password here)
mysql> SET PASSWORD FOR ''@'localhost' = PASSWORD('newpwd');

Unix で SET PASSWORD を使用するには、次のようにします。

shell> mysql -u root -p
Enter password: (enter root password here)
mysql> SET PASSWORD FOR ''@'localhost' = PASSWORD('newpwd');
mysql> SET PASSWORD FOR ''@'host_name' = PASSWORD('newpwd');

単独の UPDATE ステートメントで匿名ユーザーアカウントのパスワードを設定するには、次のようにします (任意のプラットフォームで)。

shell> mysql -u root -p
Enter password: (enter root password here)
mysql> UPDATE mysql.user SET Password = PASSWORD('newpwd')
    ->     WHERE User = '';
mysql> FLUSH PRIVILEGES;

FLUSH ステートメントにより、サーバーが付与テーブルを再度読み取ります。それがないと、パスワードの変更はサーバーを再起動するまでサーバーには認識されません。

匿名アカウントの削除

匿名アカウントにパスワードを割り当てるのではなく、削除する場合は、Windows では次のようにします。

shell> mysql -u root -p
Enter password: (enter root password here)
mysql> DROP USER ''@'localhost';

Unix では、次のように匿名アカウントを削除します。

shell> mysql -u root -p
Enter password: (enter root password here)
mysql> DROP USER ''@'localhost';
mysql> DROP USER ''@'host_name';

テストデータベースのセキュリティー設定

デフォルトでは、mysql.db テーブルには任意のユーザーによる test データベースおよび test_ で始まる名前を持つその他のデータベースへのアクセスを許可する行が含まれます。(これらの行は空の User カラム値を持ち、アクセスチェックのために任意のユーザー名に一致します。)これは、そうでなければ何の権限も持たないアカウントでさえも、このようなデータベースを使用できることを意味します。テストデータベースへの任意のユーザーによるアクセスを削除する場合は、次のようにします。

shell> mysql -u root -p
Enter password: (enter root password here)
mysql> DELETE FROM mysql.db WHERE Db LIKE 'test%';
mysql> FLUSH PRIVILEGES;

FLUSH ステートメントにより、サーバーが付与テーブルを再度読み取ります。それがないと、権限の変更はサーバーを再起動するまでサーバーには認識されません。

前述の変更により、グローバルデータベース権限、または test データベース用に明示的に付与された権限を持つユーザーのみがそれを使用できます。ただし、データベースがまったく不要である場合は、ドロップします。

mysql> DROP DATABASE test;