《Mysql應(yīng)用mysql安全設(shè)置十四個(gè)最佳方法》要點(diǎn)：
本文介紹了Mysql應(yīng)用mysql安全設(shè)置十四個(gè)最佳方法，希望對(duì)您有用。如果有疑問，可以聯(lián)系我們。

MYSQL學(xué)習(xí)1、避免從互聯(lián)網(wǎng)訪問mysql數(shù)據(jù)庫(kù),確保特定主機(jī)才擁有訪問特權(quán)
?
直接通過本地網(wǎng)絡(luò)之外的計(jì)算機(jī)改變生產(chǎn)環(huán)境中的數(shù)據(jù)庫(kù)是異常危險(xiǎn)的.有時(shí),管理員會(huì)打開主機(jī)對(duì)數(shù)據(jù)庫(kù)的訪問：
?

MYSQL學(xué)習(xí)這其實(shí)是完全放開了對(duì)root的訪問.所以,把重要的操作限制給特定主機(jī)非常重要：
?

MYSQL學(xué)習(xí)此時(shí),你仍有完全的訪問,但只有指定的ip(不管其是否靜態(tài))可以訪問.
?
2、定期備份數(shù)據(jù)庫(kù)
?
任何系統(tǒng)都有可能發(fā)生災(zāi)難.服務(wù)器、mysql也會(huì)崩潰,也有可能遭受入侵,數(shù)據(jù)有可能被刪除.只有為最糟糕的情況做好了充分的準(zhǔn)備,才能夠在事后快速地從災(zāi)難中恢復(fù).企業(yè)最好把備份過程作為服務(wù)器的一項(xiàng)日常工作.
?
3、禁用或限制遠(yuǎn)程訪問
?
前面說過,如果使用了遠(yuǎn)程訪問,要確保只有定義的主機(jī)才可以訪問服務(wù)器.這一般是通過tcp wrappers、iptables或任何其它的防火墻軟件或硬件實(shí)現(xiàn)的.
為限制打開網(wǎng)絡(luò)socket,管理員應(yīng)當(dāng)在my.cnf或my.ini的[mysqld]部分增加下面的參數(shù)：
skip-networking
這些文件位于windows的c:program filesmysqlmysql server 5.1文件夾中,或在linux中,my.cnf位于/etc/,或位于/etc/mysql/.這行命令在mysql啟動(dòng)期間,禁用了網(wǎng)絡(luò)連接的初始 化.請(qǐng)注意,在這里仍可以建立與mysql服務(wù)器的本地連接.
另一個(gè)可行的方案是,強(qiáng)迫mysql僅監(jiān)聽本機(jī),方法是在my.cnf的[mysqld]部分增加下面一行：
bind-address=127.0.0.1
如果企業(yè)的用戶從自己的機(jī)器連接到服務(wù)器或安裝到另一臺(tái)機(jī)器上的web服務(wù)器,你可能不太愿意禁用網(wǎng)絡(luò)訪問.此時(shí),不妨考慮下面的有限許可訪問：
mysql> grant select, insert on mydb.* to 'someuser'@'somehost';
這里,你要把someuser換成用戶名,把somehost換成相應(yīng)的主機(jī).
?
4、設(shè)置root用戶的口令并改變其登錄名
?
在linux中,root用戶擁有對(duì)所有數(shù)據(jù)庫(kù)的完全訪問權(quán).因而,在linux的安裝過程中,一定要設(shè)置root口令.當(dāng)然,要改變默認(rèn)的空口令,其方法如下：
access mysql控制臺(tái)：$ mysql -u root -p
在mysql控制臺(tái)中執(zhí)行：
> set password for 'root'@'localhost' = password('new_password');
在實(shí)際操作中,只需將上面一行的new_password換成實(shí)際的口令即可.
在linux控制臺(tái)中更改root口令的另一種方法是使用mysqladmin工具：
$ mysqladmin -u root password new_password
此時(shí),也是將上面一行的new_password換成實(shí)際的口令即可.
當(dāng)然,這是需要使用強(qiáng)口令來避免強(qiáng)力攻擊.
為了更有效地改進(jìn)root用戶的安全性,另一種好方法是為其改名.為此,你必須更新表用戶中的mysql數(shù)據(jù)庫(kù).在mysql控制臺(tái)中進(jìn)行操作：
?

MYSQL學(xué)習(xí)然后,通過linux訪問mysql控制臺(tái)就要使用新用戶名了：
?

MYSQL學(xué)習(xí)5、移除測(cè)試(test)數(shù)據(jù)庫(kù)
?
在默認(rèn)安裝的mysql中,匿名用戶可以訪問test數(shù)據(jù)庫(kù).我們可以移除任何無用的數(shù)據(jù)庫(kù),以避免在不可預(yù)料的情況下訪問了數(shù)據(jù)庫(kù).因而,在mysql控制臺(tái)中,執(zhí)行：
> drop database test;
?
6、禁用local infile
?
另一項(xiàng)改變是禁用”load data local infile”命令,這有助于防止非授權(quán)用戶訪問本地文件.在php應(yīng)用程序中發(fā)現(xiàn)有新的sql注入漏洞時(shí),這樣做尤其重要.
此外,在某些情況下,local infile命令可被用于訪問操作系統(tǒng)上的其它文件(如/etc/passwd),應(yīng)使用下現(xiàn)的命令：
?

MYSQL學(xué)習(xí)更簡(jiǎn)單的方法是：
?

MYSQL學(xué)習(xí)為禁用local infile命令,應(yīng)當(dāng)在mysql配置文件的[mysqld]部分增加下面的參數(shù)：
?

MYSQL學(xué)習(xí)7、移除匿名賬戶和廢棄的賬戶
?
有些mysql數(shù)據(jù)庫(kù)的匿名用戶的口令為空.因而,任何人都可以連接到這些數(shù)據(jù)庫(kù).可以用下面的命令進(jìn)行檢查：
?

MYSQL學(xué)習(xí)
在安全的系統(tǒng)中,不會(huì)返回什么信息.另一種方法是：
?

MYSQL學(xué)習(xí)
如果grants存在,那么任何人都可以訪問數(shù)據(jù)庫(kù),至少可以使用默認(rèn)的數(shù)據(jù)庫(kù)“test”.其檢查方法如下：
?

MYSQL學(xué)習(xí)
如果要移除賬戶,則執(zhí)行命令：
?

MYSQL學(xué)習(xí)
從mysql的5.0版開始支持drop user命令.如果你使用的老版本的mysql,你可以像下面這樣移除賬戶：
?

MYSQL學(xué)習(xí)8、降低系統(tǒng)特權(quán)
?
常見的數(shù)據(jù)庫(kù)安全建議都有“降低給各方的特權(quán)”這一說法.對(duì)于mysql也是如此.一般情況下,開發(fā)人員會(huì)使用最大的許可,不像安全管理一樣考慮許可原則,而這樣做會(huì)將數(shù)據(jù)庫(kù)暴露在巨大的風(fēng)險(xiǎn)中.
為保護(hù)數(shù)據(jù)庫(kù),務(wù)必保證真正存儲(chǔ)mysql數(shù)據(jù)庫(kù)的文件目錄是由”mysql” 用戶和” mysql”組所擁有的.
?

MYSQL學(xué)習(xí)
此外,還要確保僅有用戶”mysql”和root用戶可以訪問/var/lib/mysql目錄.
mysql的二進(jìn)制文件存在于/usr/bin/目錄中,它應(yīng)當(dāng)由root用戶或特定的”mysql”用戶所擁有.對(duì)這些文件,其它用戶不應(yīng)當(dāng)擁有“寫”的訪問權(quán)：
?

MYSQL學(xué)習(xí)9、降低用戶的數(shù)據(jù)庫(kù)特權(quán)
?
有些應(yīng)用程序是通過一個(gè)特定數(shù)據(jù)庫(kù)表的用戶名和口令連接到mysql的,安全人員不應(yīng)當(dāng)給予這個(gè)用戶完全的訪問權(quán).
如果攻擊者獲得了這個(gè)擁有完全訪問權(quán)的用戶,他也就擁有了所有的數(shù)據(jù)庫(kù).查看一個(gè)用戶許可的方法是在mysql控制臺(tái)中使用命令show grant
?

MYSQL學(xué)習(xí)為定義用戶的訪問權(quán),使用grant命令.在下面的例子中,user1僅能從dianshang數(shù)據(jù)庫(kù)的billing表中選擇：
?

MYSQL學(xué)習(xí)如此一來,user1用戶就無法改變數(shù)據(jù)庫(kù)中這個(gè)表和其它表的任何數(shù)據(jù).
另一方面,如果你要從一個(gè)用戶移除訪問權(quán),就應(yīng)使用一個(gè)與grant命令類似的revoke命令：
?

MYSQL學(xué)習(xí)10、移除和禁用.mysql_history文件
?
在用戶訪問mysql控制臺(tái)時(shí),所有的命令歷史都被記錄在~/.mysql_history中.如果攻擊者訪問這個(gè)文件,他就可以知道數(shù)據(jù)庫(kù)的結(jié)構(gòu).
$ cat ~/.mysql_history
為了移除和禁用這個(gè)文件,應(yīng)將日志發(fā)送到/dev/null.
$export mysql_histfile=/dev/null
上述命令使所有的日志文件都定向到/dev/null,你應(yīng)當(dāng)從home文件夾移除.mysql_history：$ rm ~/.mysql_history,并創(chuàng)建一個(gè)到/dev/null的符號(hào)鏈接.
?
11、安全補(bǔ)丁
務(wù)必保持?jǐn)?shù)據(jù)庫(kù)為最新版本.因?yàn)楣粽呖梢岳蒙弦粋€(gè)版本的已知漏洞來訪問企業(yè)的數(shù)據(jù)庫(kù).
?
12、啟用日志
如果數(shù)據(jù)庫(kù)服務(wù)器并不執(zhí)行任何查詢,建議你啟用跟蹤記錄,你可以通過在/etc/my.cnf文件的[mysql]部分添加：log =/var/log/mylogfile.
對(duì)于生產(chǎn)環(huán)境中任務(wù)繁重的mysql數(shù)據(jù)庫(kù),因?yàn)檫@會(huì)引起服務(wù)器的高昂成本.
此外,還要保證只有root和mysql可以訪問這些日志文件.
錯(cuò)誤日志
務(wù)必確保只有root和mysql可以訪問hostname.err日志文件.該文件存放在mysql數(shù)據(jù)歷史中.該文件包含著非常敏感的信息,如 口令、地址、表名、存儲(chǔ)過程名、代碼等,它可被用于信息收集,并且在某些情況下,還可以向攻擊者提供利用數(shù)據(jù)庫(kù)漏洞的信息.攻擊者還可以知道安裝數(shù)據(jù)庫(kù)的 機(jī)器或內(nèi)部的數(shù)據(jù).
mysql日志
確保只有root和mysql可以訪問logfilexy日志文件,此文件存放在mysql的歷史目錄中.
?
13、改變r(jià)oot目錄
?
unix操作系統(tǒng)中的chroot可以改變當(dāng)前正在運(yùn)行的進(jìn)程及其子進(jìn)程的root目錄.重新獲得另一個(gè)目錄root權(quán)限的程序無法訪問或命名此目錄之外的文件,此目錄被稱為“chroot監(jiān)獄”.
通過利用chroot環(huán)境,你可以限制mysql進(jìn)程及其子進(jìn)程的寫操作,增加服務(wù)器的安全性.
你要保證chroot環(huán)境的一個(gè)專用目錄,如/chroot/mysql.此外,為了方便利用數(shù)據(jù)庫(kù)的管理工具,你可以在mysql配置文件的[client]部分改變下面的參數(shù)：
?

MYSQL學(xué)習(xí)14、禁用local infile命令
?
load data local infile可以從文件系統(tǒng)中讀取文件,并顯示在屏幕中或保存在數(shù)據(jù)庫(kù)中.如果攻擊者能夠從應(yīng)用程序找到sql注入漏洞,這個(gè)命令就相當(dāng)危險(xiǎn)了.下面的命令可以從mysql控制臺(tái)進(jìn)行操作：
> select load_file("/etc/passwd");
該命令列示了所有的用戶.解決此問題的最佳方法是在mysql配置中禁用它,在centos中找到/etc/my.cnf或在ubuntu中找到 /etc/mysql/my.cnf,在[mysqld]部分增加下面一行：set-variable=local-infile=0.搞定.

MYSQL學(xué)習(xí)保護(hù)服務(wù)器的安全對(duì)于保障mysql數(shù)據(jù)庫(kù)的安全也是至關(guān)重要的.
服務(wù)器的安全對(duì)于數(shù)據(jù)庫(kù)來說可謂生死攸關(guān).

轉(zhuǎn)載請(qǐng)注明本頁(yè)網(wǎng)址：
http://www.fzlkiss.com/jiaocheng/6453.html