转载原文链接：https://blog.csdn.net/hello_world_qwp/article/details/79551789

mysql 密码策略

关于这个问题是在 《 基于MySQL Yum存储库在Linux-7.2上安装MySQL-5.7.21数据库服务（实战篇） 》 时遇到的问题，这是 mysql 初始化时，使用临时密码，修改自定义密码时，由于自定义密码比较简单，就出现了不符合密码策略的问题。

密码策略问题异常信息：
ERROR 1819 (HY000): Your password does not satisfy the current policy requirements

如下图：

解决办法：

1、查看 mysql 初始的密码策略，
输入语句 “ SHOW VARIABLES LIKE 'validate_password%'; ” 进行查看，
如下图：

2、首先需要设置密码的验证强度等级，设置 validate_password_policy 的全局参数为 LOW 即可，
输入设值语句 “ set global validate_password_policy=LOW; ” 进行设值，
如下图：

3、当前密码长度为 8 ，如果不介意的话就不用修改了，按照通用的来讲，设置为 6 位的密码，设置 validate_password_length 的全局参数为 6 即可，
输入设值语句 “ set global validate_password_length=6; ” 进行设值，
如下图：

4、现在可以为 mysql 设置简单密码了，只要满足六位的长度即可，
输入修改语句 “ ALTER USER 'root'@'localhost' IDENTIFIED BY '123456'; ” 可以看到修改成功，表示密码策略修改成功了！！！

如下图：

注：在默认密码的长度最小值为 4 ，由 大/小写字母各一个 + 阿拉伯数字一个 + 特殊字符一个，
只要设置密码的长度小于 3 ，都将自动设值为 4 ，如下图：

关于 mysql 密码策略相关参数；
1）、validate_password_length  固定密码的总长度；
2）、validate_password_dictionary_file 指定密码验证的文件路径；
3）、validate_password_mixed_case_count  整个密码中至少要包含大/小写字母的总个数；
4）、validate_password_number_count  整个密码中至少要包含阿拉伯数字的个数；
5）、validate_password_policy 指定密码的强度验证等级，默认为 MEDIUM；
关于 validate_password_policy 的取值：
0/LOW：只验证长度；
1/MEDIUM：验证长度、数字、大小写、特殊字符；
2/STRONG：验证长度、数字、大小写、特殊字符、字典文件；
6）、validate_password_special_char_count 整个密码中至少要包含特殊字符的个数；

由于近期负责项目等报二级，涉及到“建议数据库设置密码复杂度和定期更换用户口令”这一项，在这里分享一下官方文档。

1.密码验证插件安装

要使服务器可以使用，插件库文件必须位于MySQL插件目录（plugin_dir系统变量指定的目录）中。如有必要，请设置plugin_dir服务器启动时的值， 以告知服务器插件目录位置。

插件库文件基本名称是 validate_password。文件名后缀因平台.so而异（例如，对于Unix和类Unix系统，.dll对于Windows）。

要在服务器启动时加载插件，请使用该 --plugin-load-add选项命名包含它的库文件。使用此插件加载方法，每次服务器启动时都必须提供该选项。例如，将这些行放在服务器my.cnf文件中（.so根据需要调整平台的 后缀）：

[mysqld]
plugin-load-add=validate_password.so

修改后my.cnf，重新启动服务器以使新设置生效。

或者，要在运行时注册插件，请使用此语句（.so根据需要调整后缀）：

INSTALL PLUGIN validate_password SONAME 'validate_password.so';

INSTALL PLUGIN加载插件，并将其注册到mysql.plugins 系统表中，以便为每个后续的正常服务器启动加载插件。

要验证插件安装，请检查 INFORMATION_SCHEMA.PLUGINS表或使用该SHOW PLUGINS语句

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
       FROM INFORMATION_SCHEMA.PLUGINS
       WHERE PLUGIN_NAME LIKE 'validate%';
+-------------------+---------------+
| PLUGIN_NAME       | PLUGIN_STATUS |
+-------------------+---------------+
| validate_password | ACTIVE        |
+-------------------+---------------+

如果插件无法初始化，请检查服务器错误日志以获取诊断消息。

如果插件先前已注册 INSTALL PLUGIN或已加载 --plugin-load-add，您可以使用--validate-password服务器启动时的选项来控制插件激活。例如，要在启动时加载插件并防止在运行时删除它，请使用以下选项：

[mysqld]
plugin-load-add=validate_password.so
validate-password=FORCE_PLUS_PERMANENT

1） 先查看mysql全局参数配置

该问题其实与mysql的validate_password_policy的值有关。

查看一下msyql密码相关的几个全局参数：

mysql> select @@validate_password_policy;

+----------------------------+

| @@validate_password_policy |

+----------------------------+

| MEDIUM |

+----------------------------+

1 row in set (0.00 sec)


mysql> SHOW VARIABLES LIKE 'validate_password%';

+--------------------------------------+--------+

| Variable_name | Value |

+--------------------------------------+--------+

| validate_password_dictionary_file | |

| validate_password_length | 8 |

| validate_password_mixed_case_count | 1 |

| validate_password_number_count | 1 |

| validate_password_policy | MEDIUM |

| validate_password_special_char_count | 1 |

+--------------------------------------+--------+

6 rows in set (0.08 sec)

2）参数解释

validate_password_dictionary_file

插件用于验证密码强度的字典文件路径。


validate_password_length

密码最小长度，参数默认为8，它有最小值的限制，最小值为：validate_password_number_count + validate_password_special_char_count + (2 * validate_password_mixed_case_count)


validate_password_mixed_case_count

密码至少要包含的小写字母个数和大写字母个数。


validate_password_number_count

密码至少要包含的数字个数。


validate_password_policy

密码强度检查等级，0/LOW、1/MEDIUM、2/STRONG。有以下取值：

Policy Tests Performed

0 or LOW Length

1 or MEDIUM Length; numeric, lowercase/uppercase, and special characters

2 or STRONG Length; numeric, lowercase/uppercase, and special characters; dictionary file

默认是1，即MEDIUM，所以刚开始设置的密码必须符合长度，且必须含有数字，小写或大写字母，特殊字符。


validate_password_special_char_count

密码至少要包含的特殊字符数。

3）修改mysql参数配置

改变密码策略，修改简单密码

mysql> set global validate_password_policy=0;

Query OK, 0 rows affected (0.05 sec)



mysql> set global validate_password_mixed_case_count=0;

Query OK, 0 rows affected (0.00 sec)



mysql> set global validate_password_number_count=0;

Query OK, 0 rows affected (0.00 sec)



mysql> set global validate_password_special_char_count=0;

Query OK, 0 rows affected (0.00 sec)



mysql> set global validate_password_length=4;

Query OK, 0 rows affected (0.00 sec)



mysql> SHOW VARIABLES LIKE 'validate_password%';

+--------------------------------------+-------+

| Variable_name | Value |

+--------------------------------------+-------+

| validate_password_dictionary_file | |

| validate_password_length | 4 |

| validate_password_mixed_case_count | 0 |

| validate_password_number_count | 0 |

| validate_password_policy | LOW |

| validate_password_special_char_count | 0 |

+--------------------------------------+-------+

6 rows in set (0.00 sec)



4）修改简单密码：

mysql> SET PASSWORD FOR 'root'@'localhost' = PASSWORD('root');

Query OK, 0 rows affected, 1 warning (0.00 sec)

1，mysql密码策略

设置密码过期策略
Mysql数据库用户同系统用户一样，可以设置密码过期策略，密码的过期天数可以在配置文件里面设置，也可以通过命令设置，通过命令为每个用户设置密码的过期天数则会覆盖系统配置文件中的设置。

     1）配置文件中设置

     选项：default_password_lifetime=”过期天数” ：如果设置为0，则密码永不过期。

     2）通过命令设置

     命令：alter user ‘username’@’localhost’ password expire interval number day; 设置过期天数

                 alter user ‘username’@’localhost’ password expire never; 设置密码不过期

                 alter user ‘username’@’localhost’ password expire default; 默认过期策略

                 alter user ‘username’@’localhost’ password expire; 手动强制密码过期

#设置用户user的密码180天后过期
mysql> alter user ‘user’@‘localhost’ password expire interval 180 day;
Query OK, 0 rows affected (0.00 sec)
设置用户dayi的密码立即过期
mysql> alter user ‘user’@‘localhost’ password expire;
Query OK, 0 rows affected (0.00 sec)
查询数据库密码策略
show varialbes like ‘vali%’；

mysql数据库用户资源限制

     通过修改mysql数据库资源限制可以限制用户在某个时间段内连接mysql数据库的时间、执行语句的次数等。

     1）设置参数：

     max_user_connections：全局选项，限制所有用户在同一时间连接mysql数据库实例的数量

     MAX_QUERIES_PER_HOUR：一个用户在一个小时内可以执行查询的次数（基本包含所有语句）

     MAX_UPDATES_PER_HOUR：一个用户在一个小时内可以执行修改的次数（仅包含修改数据库或表的语句）

     MAX_CONNECTIONS_PER_HOUR：一个用户在一个小时内可以连接MySQL的时间

     MAX_USER_CONNECTIONS：一个用户可以在同一时间连接MySQL实例的数量

     2）设置mysql数据库用户资源限制

     设置mysql数据库用户资源限制时可以在创建用户时设置，也可以在用户创建完成后通过命令设置。

创建用户user,并对用户day的资源进行控制
mysql> create user ‘user’@‘localhost’ identified by ‘user’ with max_queries_per_hour 20 max_updates_per_hour 10 max_connections_per_hour 5 max_user_connections 2;
Query OK, 0 rows affected (0.00 sec)
对用户user进行资源控制
mysql> alter user ‘user’@‘localhost’ with max_queries_per_hour 20 max_updates_per_hour 10 max_connections_per_hour 5 max_user_connections 2;
Query OK, 0 rows affected (0.00 sec)