《Mysql實(shí)例MySQL安全策略(MySQL安全注意事項(xiàng))》要點(diǎn):
本文介紹了Mysql實(shí)例MySQL安全策略(MySQL安全注意事項(xiàng)),希望對(duì)您有用。如果有疑問,可以聯(lián)系我們。
導(dǎo)讀MYSQL應(yīng)用
MySQL被運(yùn)用于越來越多的業(yè)務(wù)中,在關(guān)鍵業(yè)務(wù)中對(duì)數(shù)據(jù)平安性的要求也更高,如何保證MySQL的數(shù)據(jù)平安?MYSQL應(yīng)用
數(shù)據(jù)平安如果只靠MySQL應(yīng)用層面顯然是不夠的,是需要在多個(gè)層面來保護(hù)的,包括網(wǎng)絡(luò)、系統(tǒng)、邏輯應(yīng)用層、數(shù)據(jù)庫(kù)層等.
下面是我們可借鑒的一些平安策略.MYSQL應(yīng)用
1、網(wǎng)絡(luò)、系統(tǒng)層面MYSQL應(yīng)用
?? 在這個(gè)層面可以做很多的事情,我們可以把這些平安要求作為新系統(tǒng)安裝時(shí)的標(biāo)準(zhǔn)要求,放到自動(dòng)化裝機(jī)方案中.MYSQL應(yīng)用
把運(yùn)行MySQL的服務(wù)器放在內(nèi)網(wǎng)中,不要啟用公網(wǎng);
迫不得已啟用公網(wǎng)的話,修改sshd端口到10000以上;
設(shè)置防火墻策略,只允許信任的服務(wù)器連接sshd和MySQL端口;MYSQL應(yīng)用
修改idrac/imm密碼,設(shè)置GRUB密碼;MYSQL應(yīng)用
設(shè)置密碼平安策略,比如要求 PASS_MIN_LEN 不低于8位,其實(shí)最好是直接用一個(gè)復(fù)雜密碼做MD5之后再作為正式密碼,32位長(zhǎng)度的平安程度夠高吧;MYSQL應(yīng)用
將操作日志記入syslog并且發(fā)送到遠(yuǎn)程log server上,堅(jiān)決不能只存儲(chǔ)在本地;MYSQL應(yīng)用
除了必須的賬號(hào),其他的都設(shè)為無登入權(quán)限;MYSQL應(yīng)用
盡量把運(yùn)行MySQL的服務(wù)器獨(dú)立出來,不要和web server、app server放一起.必須放一起的話,也要設(shè)置好權(quán)限分離,不允許web server、app server進(jìn)程的屬主有直接訪問MySQL datadir的權(quán)限;MYSQL應(yīng)用
禁用web server層的autoindex配置;MYSQL應(yīng)用
可能的話,采用https代替http;MYSQL應(yīng)用
關(guān)鍵應(yīng)用保持更新,避免老版本的漏洞風(fēng)險(xiǎn);MYSQL應(yīng)用
設(shè)置nginx、php等應(yīng)用服務(wù)的平安策略,禁用危險(xiǎn)函數(shù)等;MYSQL應(yīng)用
可以考慮購(gòu)買運(yùn)營(yíng)商提供的一些平安防護(hù)、掃描器等產(chǎn)品;MYSQL應(yīng)用
堅(jiān)決杜絕二逼行為,把關(guān)鍵配置文件上傳到公共網(wǎng)絡(luò)上(如把公司項(xiàng)目代碼放在github上作為個(gè)人項(xiàng)目,內(nèi)含內(nèi)網(wǎng)賬號(hào)密碼信息).MYSQL應(yīng)用
2、邏輯應(yīng)用層MYSQL應(yīng)用
?? 在這個(gè)層面,等多的是依賴運(yùn)營(yíng)及開發(fā)人員的平安意識(shí),很多本可以避免的低級(jí)平安漏洞完全可以在這個(gè)層面處理掉,比如下面提到的XSS、CSRF、SQL注入等漏洞.
盡量不要在公網(wǎng)上使用開源的cms、blog、論壇等系統(tǒng),除非做過代碼平安審計(jì),或者事先做好平安策略.這類系統(tǒng)一般都是黑客重點(diǎn)研究對(duì)象,很容易被搞;MYSQL應(yīng)用
在web server層,可以用一些平安模塊,比如nginx的WAF模塊;MYSQL應(yīng)用
在app server層,可以做好代碼平安審計(jì)、平安掃描,防止XSS攻擊、CSRF攻擊、SQL注入、文件上傳攻擊、繞過cookie檢測(cè)等平安漏洞;MYSQL應(yīng)用
應(yīng)用程序中涉及賬號(hào)密碼的地方例如JDBC連接串配置,盡量把明文密碼采用加密方式存儲(chǔ),再利用內(nèi)部私有的解密工具進(jìn)行反解密后再使用.或者可以讓應(yīng)用程序先用中間賬號(hào)連接proxy層,再由proxy連接MySQL,避免應(yīng)用層直連MySQL;MYSQL應(yīng)用
應(yīng)用層啟用關(guān)鍵日志記錄,例如交易日志,方便后續(xù)對(duì)賬什么的.MYSQL應(yīng)用
3、MySQL數(shù)據(jù)庫(kù)層MYSQL應(yīng)用
?? 前面幾層如果都做的不夠平安的話,在這層也幾乎是岌岌可危了.但我們依然可以做些事情的.MYSQL應(yīng)用
啟用 safe-update 選項(xiàng),避免沒有 WHERE 條件的全表數(shù)據(jù)被修改;MYSQL應(yīng)用
將 binlog 的保存周期加長(zhǎng),便于后續(xù)的審計(jì)、審查;MYSQL應(yīng)用
應(yīng)用賬號(hào)只賦予SELECT、UPDATE、INSERT權(quán)限,取消DELETE權(quán)限.把需要DELETE權(quán)限的邏輯改成用UPDATE實(shí)現(xiàn),避免被物理刪除;MYSQL應(yīng)用
需要真正刪除時(shí),交由DBA先備份后再物理刪除;MYSQL應(yīng)用
可以采用Percona的SQL審計(jì)插件,據(jù)說還有macfee的插件;MYSQL應(yīng)用
還可以采用觸發(fā)器來做一些輔助功能,比如防止黑客惡意篡改數(shù)據(jù).MYSQL應(yīng)用
4、后記MYSQL應(yīng)用
?? 數(shù)據(jù)平安可以做的事情很多,本文也只是羅列了一些比較簡(jiǎn)單可快速實(shí)施的方案.每個(gè)企業(yè)應(yīng)有自己的平安策略規(guī)范,每一位參與者都應(yīng)該心懷敬畏,努力遵守這些必要的規(guī)范,不使信息平安成為空談.MYSQL應(yīng)用
?? 真正的數(shù)據(jù)平安,是靠所有人的意識(shí)平安作為支撐的,沒有這個(gè)意識(shí)靠機(jī)制、制度、工具都是不靠譜.于MYSQL應(yīng)用
《Mysql實(shí)例MySQL安全策略(MySQL安全注意事項(xiàng))》是否對(duì)您有啟發(fā),歡迎查看更多與《Mysql實(shí)例MySQL安全策略(MySQL安全注意事項(xiàng))》相關(guān)教程,學(xué)精學(xué)透。維易PHP學(xué)院為您提供精彩教程。
轉(zhuǎn)載請(qǐng)注明本頁(yè)網(wǎng)址:
http://www.fzlkiss.com/jiaocheng/13657.html
