关于MySQL的几点安全配置
来源:互联网 发布:java实现行为树 编辑:程序博客网 时间:2024/05/19 22:00
1、安装完MySQL后
修改root用户密码
5.5以前,rpm包安装完MySQL后,root用户密码为空
5.6中,rpm包安装完MySQL后,会随机生成一个root密码,保存在/root/.mysql_secret
5.7以后,使用mysqld --initialize初始化时,默认会自动生成随机密码,并且不创建除root@localhost 外的其他账号,也不创建test库;
2、正确授权
mysql库中有4张权限表,user、db、tables_priv、columns_priv,分别对应用户密码、用户对数据库的权限、对表的权限、对列的权限。
当一个用户向MySQL发起请求时,首先会从user表中验证host、user、password,然后再依次验证db、tables_priv、columns_priv,验证过程中,如果db表中对应权限为Y,则此用户对某个库的权限全为Y,将不再验证tables_priv和columns_priv。
对于MySQL中的账户权限相关的安全配置,总结如下:
针对每个网站建立一个单独的账户
为每个网站单独建立一个专属数据库
按照user->db->tables_priv->columns_pri的顺序进行细粒度的权限控制
为每个用户单独配置一个专属数据库,保证当前用户的所有操作只能发生在它自己的数据库中,防止SQL注入发生后,黑客通过注入点访问到系统表
如果有必要,改变MySQL的root用户的用户名(在user表中更改)
3、MySQL网络完全配置
禁止root用户远程登录
防火墙设置
更改默认端口(默认3306),可以从一定程度上防止端口扫描工具的扫描
限制单个用户的连接数量:
[mysqld]
max_user_connections 20
4、文件权限及文件安全
使用非root用户启动MySQL服务
限制启动MySQL的用户的文件权限,同时确保该用户对MySQL的数据文件等有读写权限
可以使用chroot更改根目录,防止非root用户访问到一些敏感文件,比如:/etc/passwd
不要给非root用户授予process和super权限,mysqladmin processlist和show processlist命令会查看到任何用户执行的命令,这可能看到其他用户执行的update user set password=...;命令,super权限可以终止会话、更改系统参数等
不要对表使用软连接(--skip-symbolic-links参数用来禁用这一功能),表的软连接只有MyISAM支持,因为开启表软连接后(尤其是对于使用系统root用户启动MySQL服务的),MySQL用户就可以使用mysqld来删除、重命名数据文件所在位置以外的文件了
如果plugin文件夹可以被MySQL server写,那么用户就可以使用select ... into dumpfile命令把可执行代码写入到里面,可以通过把plugin_dir参数对应的路径设为只读以及调整--secure-file-priv参数来提高安全性
不要给非root用户授予文件读写权限,防止使用load data local infile来提取本地文件(比如提取/etc/passwd里的信息,会对系统安全造成威胁)
[mysqld]
local-infile=0
5、如果有必要,可以删除~/.bash_history文件,防止读取历史命令
# rm .bash_history .mysql_history
# ln -s /dev/null .bash_history
# ln -s /dev/null .mysql_history
更多精彩MySQL内容 请关注我
0 0
- 关于MySQL的几点安全配置
- 关于MySQL的几点安全配置
- php.ini 的几点安全配置
- 关于JSP+mysql的几点问题
- 应用:外包云计算关于安全的几点建议
- 关于mysql索引使用需要注意的几点
- 关于MySQL数据库设计的几点优化措施
- 安全普及:关于网络远程控制和木马的几点误区
- 关于Linux系统上 SU命令的几点安全建议
- 关于grub的几点
- 关于优化的几点
- 关于接口的几点
- 关于css的几点
- 关于提高效率的几点
- 关于HTTP的几点
- 关于getline的几点
- 关于VS2008属性配置几点总结
- 几本关于PHP安全的书
- UILabel设置删除线(电商商品价格)
- Android中的进程与线程
- 通过js把html标签转化为普通字符,再用java进行反转
- Shell典型应用Nginx之应用日志分析
- Python基础
- 关于MySQL的几点安全配置
- ZooKeeper原理及使用
- 欢迎使用CSDN-markdown编辑器
- const成员函数与static成员函数
- JVM.0学习笔记(七)类文件结构
- eclipse install gradle plugin used to create the gradle project
- JSONObject 和object之间的转换
- Ubuntu下jmap以及jinfo出现Can't attach to the process问题的解决办法
- Python3爬虫入门之贴吧图片批量获取