Practical MySQL & MariaDB

Změna hesla uživatele v MySQL: příkazy ALTER USER (MySQL 5.7 / 8.0) + obnovení root hesla

Uživatelé a oprávnění
目次

1. [Quick Answer] Seznam příkazů pro změnu hesla uživatele MySQL (nejrychlejší řešení)

Základní příkaz pro změnu hesla uživatele v MySQL je ALTER USER.
Tato metoda je doporučována v MySQL 5.7 a novějších a používá se stejným způsobem v MySQL 8.0.

1.1 Základní syntaxe (nejčastěji používaná)

ALTER USER 'username'@'localhost' IDENTIFIED BY 'newpassword';
  • username : cílové uživatelské jméno k aktualizaci
  • localhost : hostitel klienta (účet MySQL je identifikován jako „uživatelské jméno + hostitel“)
  • newpassword : nové heslo

Po provedení se změna projeví okamžitě. Ve většině případů není potřeba FLUSH PRIVILEGES; (ALTER USER automaticky aktualizuje tabulky oprávnění).

Časté úskalí

  • I při stejném uživatelském jménu jsou @'localhost' a @'%' považovány za různé účty
  • Symboly v heslech musí být uzavřeny v jednoduchých uvozovkách

1.2 Změna uživatele pro vzdálený přístup (%)

ALTER USER 'username'@'%' IDENTIFIED BY 'newpassword';

% znamená „jakýkoli hostitel.“
Obvykle se používá v cloudových prostředích nebo pro uživatele, kteří mají povoleno připojení zvenčí.

Poznámky

  • Je bezpečnější předem zkontrolovat pomocí SELECT User, Host FROM mysql.user;
  • Pokud změníte heslo pro nesprávný hostitel, nebudete se moci přihlásit

1.3 Změna hesla při specifikaci autentizačního pluginu (důležité v 8.0)

V MySQL 8.0 je výchozím autentizačním pluginem caching_sha2_password.
Pokud se nemůžete připojit staršími klienty, nastavte plugin explicitně.

ALTER USER 'username'@'localhost'
IDENTIFIED WITH mysql_native_password
BY 'newpassword';
  • mysql_native_password : starší metoda (upřednostňuje kompatibilitu)
  • caching_sha2_password : standard MySQL 8.0 (doporučeno)

Typické chyby

  • Starší PHP nebo klienti nemusí podporovat výchozí plugin MySQL 8.0
  • Rozhodnutí „nemohu se přihlásit“ bez kontroly autentizačního pluginu

1.4 Pokud obdržíte chybu oprávnění

Příklad chyby:

ERROR 1227 (42000): Access denied; you need (at least one of) the SYSTEM_USER privilege(s)

V tomto případě přihlášený uživatel nemá oprávnění provést změnu.

Zkontrolujte:

SHOW GRANTS FOR CURRENT_USER();

Spusťte příkaz jako root nebo jako uživatel s dostatečnými oprávněními.

1.5 Jak ověřit po změně

SELECT User, Host, plugin FROM mysql.user WHERE User='username';
  • Zkontrolujte autentizační plugin ve sloupci plugin
  • Nejspolehlivější kontrolou je skutečně se přihlásit a ověřit spojení

1.6 Co se stane s existujícími relacemi

Po změně hesla:

  • Nová připojení musí použít nové heslo
  • Existující relace mohou být okamžitě ukončeny v závislosti na prostředí
  • V produkci se doporučuje provádět změny mimo pracovní dobu

2. Základy uživatelů a hostitelů v MySQL (prevence běžných „zaseknutých“ problémů)

V MySQL není uživatel identifikován pouze „uživatelským jménem“. Je identifikován kombinací „uživatelské jméno + hostitel klienta (Host)“.
Pokud tomu nerozumíte, můžete narazit na klasický problém: „Změnil jsem heslo, ale stále se nemohu přihlásit.“

2.1 Uživatel je dvojice „user@host“

Příklady:

  • 'appuser'@'localhost'
  • 'appuser'@'%'
  • 'appuser'@'192.168.1.%'

Tyto jsou všechny považovány za různé účty.
Takže i když změníte heslo pro localhost, neovlivní to účet %.

Příkaz pro kontrolu:

SELECT User, Host FROM mysql.user ORDER BY User, Host;

Časté úskalí

  • Neuvědomovat si, že existuje více účtů se stejným uživatelským jménem
  • Změnili jste heslo pro localhost, ale ve skutečnosti se přihlašujete přes TCP (127.0.0.1)

2.2 localhost a 127.0.0.1 jsou považovány za odlišné

V MySQL:

  • localhost → připojení přes UNIX socket (lokální interní připojení)
  • 127.0.0.1 → TCP/IP připojení

V závislosti na prostředí může odpovídat jiný účet.

Zkontrolujte:

mysql -u username -p -h 127.0.0.1

If you can’t log in with the above, the @'127.0.0.1' account may not exist.

2.3 Zkontrolujte aktuálně autentizovaného uživatele

Je důležité pochopit, „jako který účet jste autentizováni.“

SELECT CURRENT_USER();

Toto zobrazuje „user@host“, který byl skutečně autentizován.

SELECT USER(); zobrazuje informace o požadavku na připojení, takže nemusí odpovídat.

2.4 Zkontrolujte oprávnění (SHOW GRANTS)

Pokud nemůžete změnit heslo, může být příčinou nedostatečná oprávnění.

SHOW GRANTS FOR 'username'@'host';

Nebo pro aktuálně přihlášeného uživatele:

SHOW GRANTS FOR CURRENT_USER();

Minimální požadovaná oprávnění

  • ALTER USER
  • Nebo SYSTEM_USER (MySQL 8.0 a novější)

2.5 Typické vzory selhání

  1. Změnili jste heslo pro špatný Host
  2. Ověřovací plugin se liší (velmi časté v 8.0)
  3. Cílový účet vůbec neexistuje

Zkontrolujte, zda uživatel existuje:

SELECT User, Host FROM mysql.user WHERE User='username';

Jakmile pochopíte tento model, můžete se vyhnout většině problémů souvisejících se změnou hesla.

3. Doporučený postup: Bezpečná změna pomocí ALTER USER (funguje pro MySQL 8.0 / 5.7)

V MySQL 5.7 a novějších je změna hesel pomocí ALTER USER standardní a doporučený přístup.
Přímé aktualizace jako UPDATE mysql.user se mohou chovat odlišně v závislosti na verzi a představují riziko budoucí kompatibility, takže je nejlepší je vyhnout.

3.1 Předkontroly (Vždy potvrďte před změnou)

Před změnou hesla potvrďte tyto tři položky.

① Potvrďte cílového uživatele a Host

SELECT User, Host FROM mysql.user WHERE User='username';
  • Zkontrolujte, zda existuje více účtů se stejným uživatelským jménem
  • Nesmí se zaměňovat localhost s %

② Potvrďte aktuální ověřovací plugin (důležité v 8.0)

SELECT User, Host, plugin
FROM mysql.user
WHERE User='username';
  • caching_sha2_password (standard MySQL 8.0)
  • mysql_native_password (starý plugin)

Některá selhání připojení jsou způsobena ověřovacím pluginem.

③ Potvrďte aktuálně autentizovaného uživatele

SELECT CURRENT_USER();

Aby se předešlo chybám oprávnění, spusťte příkazy jako root nebo jako uživatel s odpovídajícími oprávněními.

3.2 Spusťte ALTER USER (standardní forma)

ALTER USER 'username'@'localhost'
IDENTIFIED BY 'NewStrongPassword123!';

Změna se projeví okamžitě.
Ve většině případů není potřeba FLUSH PRIVILEGES;.

Poznámky

  • Pokud je porušena politika hesel (validate_password), může nastat ERROR 1819
  • Pokud heslo obsahuje speciální znaky, vždy jej uzavřete do jednoduchých uvozovek

3.3 Změna s určením ověřovacího pluginu (pouze pokud je potřeba)

Pokud používáte starší klienty v prostředí MySQL 8.0:

ALTER USER 'username'@'localhost'
IDENTIFIED WITH mysql_native_password
BY 'NewStrongPassword123!';

Případy, kdy byste jej měli změnit:

  • Nelze se připojit se starým PHP / starými MySQL klienty
  • Prostředí, které nepodporuje caching_sha2_password

Případy, kdy byste jej NEMĚLI měnit:

  • Pokud se již můžete připojit bez problémů v moderním prostředí (standardní plugin je bezpečnější)

3.4 Ověření po změně

① Ověřte ověřovací plugin

SELECT User, Host, plugin
FROM mysql.user
WHERE User='username';

② Ověřte skutečným přihlášením

mysql -u username -p

Vždy otestujte, že se můžete přihlásit.

3.5 Dopad na existující relace

Po změně hesla:

  • Nová připojení → musí použít nové heslo
  • Existující připojení → mohou zůstat aktivní v závislosti na prostředí
  • Produkce → může být nutný restart připojení aplikace

Časté chyby

  • Neaktualizování přihlašovacích údajů aplikace
  • Stará hesla stále zůstávají v konfiguračních souborech

3.6 Bezpečné provozní tipy pro produkci

  • Provádějte změny mimo pracovní dobu
  • Předem zkontrolujte konfigurační soubory aplikace
  • Pracujte bez odpojení SSH relace
  • Při změně rootu se ujistěte, že máte připravenou obnovovací metodu

4. Rozdíly mezi MySQL 8.0 a 5.7

Největší příčinou potíží při změně hesel MySQL je rozdíl v autentizačních metodách mezi MySQL 8.0 a 5.7.
Konkrétně mnoho případů „Změnil jsem to, ale nemohu se přihlásit“ je způsobeno rozdíly v autentizačním pluginu.

Diagram showing the difference between MySQL 5.7 mysql_native_password and MySQL 8.0 caching_sha2_password authentication methods

Rozdíl autentizace mezi MySQL 5.7 a MySQL 8.0

4.1 Rozdíly výchozího autentizačního pluginu

VersionDefault authentication plugin
MySQL 5.7mysql_native_password
MySQL 8.0caching_sha2_password

V MySQL 8.0 se caching_sha2_password stal standardem pro vyšší zabezpečení.
Starší klienti (starší verze PHP, starší MySQL konektory atd.) jej však nemusí podporovat.

Jak zkontrolovat:

SELECT User, Host, plugin
FROM mysql.user
WHERE User='username';

Běžné problémy

  • Starší klienti se nemohou připojit k uživatelům vytvořeným v MySQL 8.0
  • I když dojde k chybě, neuvědomíte si, že hlavní příčinou je autentizační plugin

4.2 Jak přepnout autentizační plugin pro kompatibilitu

Pouze když musíte připojit ze staršího prostředí, změňte to takto:

ALTER USER 'username'@'localhost'
IDENTIFIED WITH mysql_native_password
BY 'NewStrongPassword123!';

Po změně vždy proveďte test připojení.

Poznámky

  • Z hlediska bezpečnosti je caching_sha2_password bezpečnější
  • Nepřepínejte zbytečně na starý plugin
  • Pokud je to možné, je výhodnější aktualizovat klientskou stranu

4.3 Přímý UPDATE se nedoporučuje

V MySQL 5.7 a starších se používaly metody jako následující:

UPDATE mysql.user
SET authentication_string=PASSWORD('newpassword')
WHERE User='username';
FLUSH PRIVILEGES;

Tento přístup je však:

  • Silně závislý na verzi
  • Podléhá změnám specifikace v 8.0
  • Pravděpodobně bude v budoucnu zastaralý

Obecné pravidlo: použijte ALTER USER

4.4 Rozdíly chování pluginu validate_password

V MySQL 5.7 i 8.0 jsou funkce politiky hesel (kontrola síly) ve výchozím nastavení dostupné.

Zkontrolujte:

SHOW VARIABLES LIKE 'validate_password%';

Pokud porušíte politiku, můžete získat:

ERROR 1819 (HY000)

.

Protože mnoho prostředí 8.0 vynucuje přísnější bezpečnostní základy,
po upgradu z 5.7 můžete zjistit, že změny hesla již neprocházejí kvůli přísnějším požadavkům politiky.

4.5 Jak zkontrolovat verzi

Pokud si nejste jisti, kterou verzi používáte:

SELECT VERSION();

Pokud aplikujete opravy bez ověření verze, můžete skončit s nesprávnou metodou

5. Obnovení zapomenutého root hesla (postup zaměřený na bezpečnost)

Pokud zapomenete heslo uživatele root (administrátora) v MySQL, nemůžete se normálně přihlásit.
V takovém případě musíte dočasně zakázat grant tabulky a resetovat heslo. Tento postup však představuje bezpečnostní rizika, proto postupujte opatrně.

5.1 Ověřte, zda opravdu potřebujete root heslo

Nejprve zkontrolujte následující:

  • Zda máte oprávnění sudo na úrovni OS
  • Zda je povoleno ověřování auth_socket (běžné v systémech založených na Ubuntu)

Příklad kontroly:

SELECT User, Host, plugin
FROM mysql.user
WHERE User='root';

Pokud je plugin nastaven na auth_socket, můžete se přihlásit jako root uživatel OS.

sudo mysql

Pokud to funguje, stačí pouze resetovat heslo.

5.2 Průběh obnovy (obecný postup)

① Zastavte MySQL server

sudo systemctl stop mysql

② Spusťte s vypnutými grant tabulkami

sudo mysqld_safe --skip-grant-tables &

--skip-grant-tables zakazuje autentizaci.
V tomto stavu se může připojit kdokoli, proto postup dokončete rychle.

③ Připojte se k MySQL

mysql -u root

Můžete se připojit bez hesla.

④ Resetujte root heslo (doporučená metoda)

ALTER USER 'root'@'localhost'
IDENTIFIED BY 'NewStrongPassword123!';

Důležité

  • NEpoužívejte přímo UPDATE mysql.user
  • Použijte ALTER USER (pro kompatibilitu verzí)

⑤ Znovu povolit grant tabulky

FLUSH PRIVILEGES;

⑥ Restartovat MySQL v normálním režimu

sudo systemctl restart mysql

Pak ověřte normální přihlášení:

mysql -u root -p

5.3 Běžné chyby

  • Nechat povolený --skip-grant-tables (vážné bezpečnostní riziko)
  • Náhodně změnit hostitele root
  • Nesprávně změnit autentizační plugin a uzamknout se

5.4 Poznámky pro produkční prostředí

  • Vždy provádějte během údržbového okna na veřejných serverech
  • Udržujte aktivní SSH relaci během práce
  • Vytvořte zálohu předem, pokud je to možné

Root password recovery can be done safely if executed carefully.

6. Běžné chyby a řešení (Zachycení provozu podle chybové zprávy)

Při změně MySQL hesel se vyskytuje několik typických chyb.
Níže organizujeme běžné příčiny a řešení podle často vyhledávaných kódů chyb.

6.1 CHYBA 1819 (Heslo nesplňuje požadavky politiky)

Příklad chyby:

ERROR 1819 (HY000): Your password does not satisfy the current policy requirements

Příčina

Heslo neprošlo validací síly vynucovanou pluginem validate_password.

Zkontrolujte aktuální politiku

SHOW VARIABLES LIKE 'validate_password%';

Důležité nastavení:

  • validate_password.length
  • validate_password.policy
  • validate_password.mixed_case_count
  • validate_password.number_count
  • validate_password.special_char_count

Řešení ① (Doporučeno): Použít silnější heslo

  • Alespoň 12 znaků
  • Obsahovat velká i malá písmena, číslice a symboly
  • Vyhnout se slovům ze slovníku

Řešení ② (Dočasně uvolnit politiku)

SET GLOBAL validate_password.policy = LOW;

Po dokončení úkolu se doporučuje obnovit původní nastavení.

Běžné chyby

  • Nechat politiku uvolněnou v produkci
  • Přehlédnout, že změna tohoto nastavení vyžaduje oprávnění SUPER

6.2 CHYBA 1227 (Nedostatečná oprávnění)

Příklad chyby:

ERROR 1227 (42000): Access denied; you need (at least one of) the SYSTEM_USER privilege(s)

Příčina

Aktuální uživatel postrádá oprávnění ALTER USER nebo SYSTEM_USER.

Zkontrolujte oprávnění

SHOW GRANTS FOR CURRENT_USER();

Řešení

Spusťte příkaz jako root nebo jako uživatel s dostatečnými oprávněními.

V případě potřeby:

GRANT ALTER USER ON *.* TO 'username'@'host';
FLUSH PRIVILEGES;

Poznámka

  • V MySQL 8.0 může být také vyžadováno oprávnění SYSTEM_USER
  • V produkci dodržujte princip nejmenších oprávnění

6.3 Nelze se přihlásit po změně hesla

Hlavní příčiny

  1. Špatný hostitel
  2. Nesoulad autentizačního pluginu
  3. Neslučitelnost klienta
  4. Konfigurace aplikace nebyla aktualizována

① Zkontrolujte hostitele

SELECT User, Host FROM mysql.user WHERE User='username';

② Zkontrolujte autentizační plugin

SELECT plugin FROM mysql.user WHERE User='username';

③ Změňte autentizační plugin (pokud je to nutné)

ALTER USER 'username'@'localhost'
IDENTIFIED WITH mysql_native_password
BY 'NewStrongPassword123!';

④ Zkontrolujte konfiguraci aplikace

  • .env
  • config.php
  • Připojovací řetězec (DSN)

Běžné chyby

  • Změna MySQL, ale neaktualizace aplikace
  • Nespouštění kontejnerů v Docker prostředí

6.4 Stále se lze přihlásit starým heslem po změně

Obvykle se změny provedené pomocí ALTER USER projeví okamžitě.

Možné příčiny:

  • Ve skutečnosti jste změnili jiný účet hostitele
  • Připojení ukazuje na jiný server (repliku)
  • Cacheování relace

Zkontrolujte:

SELECT CURRENT_USER();

Je zásadní přesně ověřit jak připojený server, tak autentizovaného uživatele.

7. Bezpečnostní operace: zásady hesel a osvědčené postupy

Changing a password is not a one-time task.
In real-world operations, you maintain security by combining strength enforcement, privilege design, and operational rules.

7.1 Používání pluginu validate_password

MySQL provides built-in functionality to enforce password strength.

Zkontrolujte aktuální nastavení

SHOW VARIABLES LIKE 'validate_password%';

Hlavní konfigurační parametry

  • validate_password.length (minimální délka)
  • validate_password.policy (LOW / MEDIUM / STRONG)
  • validate_password.mixed_case_count
  • validate_password.number_count
  • validate_password.special_char_count

Příklad konfigurace (minimálně 12 znaků, politika MEDIUM)

SET GLOBAL validate_password.length = 12;
SET GLOBAL validate_password.policy = MEDIUM;

Poznámka

  • GLOBAL změny se mohou po restartu resetovat
  • Pro trvalé nastavení je nakonfigurujte v konfiguračním souboru ( my.cnf / my.ini )

7.2 Minimální požadavky na silná hesla

Recommended standards in practice:

  • Alespoň 12 znaků
  • Obsahuje velká a malá písmena, číslice a symboly
  • Vyhněte se slovům ze slovníku
  • Nepoužívejte stejná hesla napříč službami

Příklad:

X9v!pQ4z#Lm2

Příklady, kterým se vyhnout

password123
mysql2025
companyname!

7.3 Důležitější než periodické změny

Důležitější než „měnit každých šest měsíců“ je navrhovat s předpokladem potenciálního úniku přihlašovacích údajů.

① Oddělené uživatele aplikací

  • Nepoužívejte root v aplikacích
  • Vytvořte uživatele s nejmenšími oprávněními

Příklad:

GRANT SELECT, INSERT, UPDATE ON dbname.* TO 'appuser'@'localhost';

② Minimalizujte oprávnění (Princip nejmenších oprávnění)

Povolte pouze nezbytné operace, aby se omezilo potenciální poškození.

③ Používejte auditování a logy

Příklad kontroly logu:

tail -f /var/log/mysql/mysql.log

MySQL Enterprise také podporuje auditní pluginy.

7.4 Provozní tipy pro produkční prostředí

  • Testujte ve stagingu před provedením změn v produkci
  • Sledujte historii změn (Git nebo dokumentace)
  • Vždy po změnách proveďte test připojení
  • Udržujte aktivní SSH relaci během práce

7.5 Věci, které byste nikdy neměli dělat

  • Používejte účet root v aplikacích
  • Vkládejte hesla přímo do zdrojového kódu
  • Zakázat validate_password a nechat to tak
  • Nechat server běžet s --skip-grant-tables

Správa hesel není jednorázová úloha, ale součást kontinuálního provozního návrhu.

8. FAQ (Často kladené otázky)

8.1 Q. Co se stane s aktivními relacemi po změně hesla?

A. V zásadě nové připojení vyžaduje nové heslo.
U existujících relací mohou být buď okamžitě ukončeny, nebo zůstat aktivní v závislosti na prostředí a konfiguraci.

V praxi:

  • Provádějte změny mimo pracovní dobu v produkci
  • Restartujte aplikaci pro obnovení připojení

se doporučuje.

8.2 Q. Změnil jsem heslo, ale stále se nemohu přihlásit

Nejčastější tři příčiny jsou:

  1. Nesprávný hostitel ( localhost vs % , atd.)
  2. Nesoulad autentizačního pluginu (velmi časté v 8.0)
  3. Konfigurace aplikace nebyla aktualizována

Zkontrolujte pomocí:

SELECT User, Host, plugin
FROM mysql.user
WHERE User='username';

Věnujte zvláštní pozornost sloupci plugin.

8.3 Q. Mohu povolit pouze konkrétnímu uživateli měnit hesla?

Ano.

GRANT ALTER USER ON *.* TO 'username'@'host';
FLUSH PRIVILEGES;

V MySQL 8.0 může být také vyžadováno oprávnění SYSTEM_USER.

SHOW GRANTS FOR 'username'@'host';

Použijte to k ověření oprávnění.

8.4 Q. Je metoda stejná v MariaDB?

V zásadě je k dispozici ALTER USER, ale:

  • Autentizační pluginy
  • Chování zásad hesel
  • Rozdíly specifické pro verzi

se mohou lišit v závislosti na prostředí.

Zkontrolujte pomocí:

SELECT VERSION();

MySQL Community Edition ve výchozím nastavení neposkytuje vestavěné sledování historie hesel.

8.5 Q. Můžu zkontrolovat historii změn hesla?

Možné přístupy:

  • Povolit auditní logování
  • Použít externí správu logů
  • Sledovat historii v provozní dokumentaci

Příklad:

tail -f /var/log/mysql/mysql.log

8.6 Q. Můžu obnovit ne-root uživatele pomocí –skip-grant-tables?

Ano, ale vytváří vysoce nebezpečný stav.
Vždy se po dokončení postupu okamžitě vraťte do normálního režimu.

9. Shrnutí

Změna hesla v MySQL může vypadat jednoduše, ale bez pochopení modelu user@host, autentizačních pluginů a návrhu oprávnění může snadno vést k problémům.

Klíčové body z tohoto článku jsou:

9.1 Použijte ALTER USER jako standardní metodu

ALTER USER 'username'@'localhost'
IDENTIFIED BY 'NewStrongPassword123!';
  • Standardní metoda v MySQL 5.7 a novějších
  • Přímé UPDATE mysql.user se nedoporučuje
  • FLUSH PRIVILEGES je obvykle zbytečné

9.2 Uživatelé jsou spravováni jako “user@host”

  • localhost a % jsou různé účty
  • Může existovat více účtů se stejným uživatelským jménem
  • Zkontrolujte pomocí SELECT User, Host FROM mysql.user;

9.3 Věnujte pozornost autentizačním pluginům v 8.0

  • Výchozí v 8.0: caching_sha2_password
  • Zpětná kompatibilita: mysql_native_password
  • Pokud se nemůžete připojit, zkontrolujte sloupec plugin
    SELECT plugin FROM mysql.user WHERE User='username';

9.4 Buďte opatrní při obnově root hesla

  • --skip-grant-tables je pouze dočasné opatření
  • Vždy se po dokončení vraťte do normálního režimu
  • Proveďte během údržbového okna v produkci

9.5 Většina chyb má jasné příčiny

  • ERROR 1819 → Porušení politiky hesel
  • ERROR 1227 → Nedostatečná oprávnění
  • Nelze se přihlásit → Nesoulad hosta nebo autentizačního pluginu

9.6 V praxi je nejdůležitější princip nejmenších oprávnění a provozní design

  • Nepoužívejte root v aplikacích
  • Vytvořte dedikované uživatele
  • Vynucujte silné politiky hesel
  • Vždy testujte připojení po změnách

Správa hesel v MySQL není jen o změně hodnoty — je to základ bezpečného provozu databáze. Vyberte vhodnou metodu pro své prostředí a proveďte ji opatrně.