MySQL常见安全小贴士.pdfVIP

MySQL 是最受 DBA 欢迎的数据库之一， 易用性和高性能是 MySQL 数据库的标志。 然 而，高人气使得 MySQL 成为很多恶意个人和组织攻击的目标。默认安装的 MySQL 在安全 措施方面存在较大隐患， 特别是根密码空缺和缓冲区溢出的潜在漏洞， 使其成为最容易受攻 击的目标。 在本文中， 我们将介绍一些简单而有效的方法来加强数据库的安全性， 以抵御本 地以及远程的攻击。 常见安全行为 作为 DBA ，与安全相关的工作应当围绕以下三方面展开： #8226; 打补丁 #8226; 限制访问 #8226; 避免有用信息收集 本文剩余部分将会在细节上讨论以上三个行为， 并将重点放在对网络、 操作系统以及数 据库服务器的限制访问上。 安全补丁 尽管每个人都会尽最大努力去保护数据， 但永远会有人发现可以利用的漏洞。 数据库供 应商会检查引起问题的漏洞，并提供相应的漏洞补丁程序。 为 MySQL 寻找相关安全补丁最好的去处之一便是 Oracle 的官方网站。 你需要经常访问 MySQL 论坛，并关注相关动向。它们通常是安全警报最先发出的地方。 防止对系统的访问 有四项主要的来源是需要注意的： #8226; 对网络的访问 #8226; 对数据库的直接访问 #8226; 对备份的访问 #8226; 对操作系统的访问，包括数据和日志文件 以上每一项都有其自身所面临的挑战和解决途径： 对网络的访问 如果你所在的局域网或广域网并不安全， 你需要考虑对服务器和客户端之间的网络连接 进行加密。 非授权用户能够以某种方式获得对特权用户账户 (例如 root) 的访问权限么， 他们 可以利用类似 tcpdump 的工具嗅探发往 MySQL 的网络流并过滤数据包。 这些数据包是会包 含查询和数据的。 默认情况下， MySQL 是以最佳性能配置的，因此除非对连接进行人工设置，否则所有 连接都是非加密的。 而通常是采用 SSL 协议对所有在 MySQL 客户端和服务器之间发送的数 据进行加密。 MySQL 可以基于每个连接进行加密，因此你可以根据各个应用程序的需求来选择使用 非加密连接或是安全的加密 SSL 连接。 对数据库的访问 对于黑客来说，首要的潜在入口点之一就是 root 账户。因此，对密码进行重置和对 ID 重命名是至关重要的。 ...当你拿到一个默认安装的 MySQL 时，首先要做的就是为 root 用户设置密码。 $ mysqladmin -u root password NEWPASSWORD 一旦设置了密码，将” root ” 改成其他名字，安全性将会更好。一个黑客比较青睐于 在 MySQL 服务器上将 root 用户作为目标， 既是由于其超级用户身份， 也是因为它是已知用 户。通过改变 root 用户名，会让黑客进行成功攻击变得更困难。使用以下一系列命令可以 重命名“ root ” 用户： mysqlgt; RENAME USER root TO new_user; 除此之外， 让超级用户的数量保持在绝对意义上的最小对掌控数据库是非常关键的。 而 太多的超级账号是存在隐患的， 实际上， 就关键数据而言， 如果你不小心就有可能失去很多 东西。 有一个账户类型是 DBA 们所钟爱的，即只读用户。这是最好用的一类账户类型，因为 持有它的用户实际上是无法对数