📄 mysql数据库安全配置_实用技巧来个内外兼修(1).doc
字号:
<br>
-<span class=SpellE>rw</span>------- 1 <span class=SpellE>mysql</span> <span
class=SpellE>mysql</span> 3072 Feb 27 20:08 <span class=SpellE>db.MYI</span>
<br>
<br>
-<span class=SpellE>rw</span>------- 1 <span class=SpellE>mysql</span> <span
class=SpellE>mysql</span> 8982 Feb 27 20:08 <span class=SpellE>db.frm</span>
<br>
<br>
-<span class=SpellE>rw</span>------- 1 <span class=SpellE>mysql</span> <span
class=SpellE>mysql</span> 0 Feb 27 20:08 <span class=SpellE>func.MYD</span>
<br>
<br>
-<span class=SpellE>rw</span>------- 1 <span class=SpellE>mysql</span> <span
class=SpellE>mysql</span> 1024 Feb 27 20:08 <span class=SpellE>func.MYI</span>
<br>
<br>
-<span class=SpellE>rw</span>------- 1 <span class=SpellE>mysql</span> <span
class=SpellE>mysql</span> 8641 Feb 27 20:08 <span class=SpellE>func.frm</span>
<br>
<br>
-<span class=SpellE>rw</span>------- 1 <span class=SpellE>mysql</span> <span
class=SpellE>mysql</span> 0 Feb 27 20:08 <span class=SpellE>host.MYD</span>
<br>
<br>
-<span class=SpellE>rw</span>------- 1 <span class=SpellE>mysql</span> <span
class=SpellE>mysql</span> 1024 Feb 27 20:08 <span class=SpellE>host.MYI</span>
<br>
<br>
-<span class=SpellE>rw</span>------- 1 <span class=SpellE>mysql</span> <span
class=SpellE>mysql</span> 8958 Feb 27 20:08 <span class=SpellE>host.frm</span>
<br>
<br>
-<span class=SpellE>rw</span>------- 1 <span class=SpellE>mysql</span> <span
class=SpellE>mysql</span> 0 Feb 27 20:08 <span class=SpellE>tableserials_priv.MYD</span>
<br>
<br>
-<span class=SpellE>rw</span>------- 1 <span class=SpellE>mysql</span> <span
class=SpellE>mysql</span> 1024 Feb 27 20:08 <span class=SpellE>tableserials_priv.MYI</span>
<br>
<br>
-<span class=SpellE>rw</span>------- 1 <span class=SpellE>mysql</span> <span
class=SpellE>mysql</span> 8877 Feb 27 20:08 <span class=SpellE>tableserials_priv.frm</span>
<br>
<br>
-<span class=SpellE>rw</span>------- 1 <span class=SpellE>mysql</span> <span
class=SpellE>mysql</span> 428 Feb 27 20:08 <span class=SpellE>user.MYD</span>
<br>
<br>
-<span class=SpellE>rw</span>------- 1 <span class=SpellE>mysql</span> <span
class=SpellE>mysql</span> 2048 Feb 27 20:08 <span class=SpellE>user.MYI</span>
<br>
<br>
-<span class=SpellE>rw</span>------- 1 <span class=SpellE>mysql</span> <span
class=SpellE>mysql</span> 9148 Feb 27 20:08 <span class=SpellE>user.frm</span>
<br>
<br>
如果这些文件的属主及属性不是这样,请用以下两个命令修正之: <br>
<br>
shell><span class=SpellE>chown</span> -R <span class=SpellE>mysql.mysql</span>
/<span class=SpellE>usr/local/mysql/var</span> <br>
<br>
shell><span class=SpellE>chmod</span> -R go-<span class=SpellE>rwx</span>
/<span class=SpellE>usr/local/mysql/var</span> <br>
<br>
用root用户启动远程服务一直是安全大忌,因为如果服务程序出现问题,远程攻击者极有可能获得主机的完全控制权。<span class=SpellE>MySQL</span>从3.23.15版本开始时作了小小的改动,默认安装后服务要用<span
class=SpellE>mysql</span>用户来启动,不允许root用户启动。如果非要用root用户来启动,必须加上--user=root的参数(./<span
class=SpellE>safe_mysqld</span> --user=root &)。因为<span class=SpellE>MySQL</span>中有LOAD
DATA INFILE和SELECT ... INTO OUTFILE的SQL语句,如果是root用户启动了<span class=SpellE>MySQL</span>服务器,那么,数据库用户就拥有了root用户的写权限。不过<span
class=SpellE>MySQL</span>还是做了一些限制的,比如LOAD DATA INFILE只能读全局可读的文件,SELECT ...
INTO OUTFILE不能覆盖已经存在的文件。 本地的日志文件也不能忽视,包括shell的日志和<span class=SpellE>MySQL</span>自己的日志。有些用户在本地登陆或备份数据库的时候为了图方便,有时会在命令行参数里直接带了数据库的密码,如:
shell>/<span class=SpellE>usr/local/mysql/bin/mysqldump</span> -<span
class=SpellE>uroot</span> -<span class=SpellE>ptest</span> test><span
class=SpellE>test.sql</span> shell>/<span class=SpellE>usr/local/mysql/bin/mysql</span>
-<span class=SpellE>uroot</span> -<span class=SpellE>ptest</span> 这些命令会被shell记录在历史文件里,比如bash会写入用户目录的.<span
class=SpellE>bash_history</span>文件,如果这些文件<span class=GramE>不慎被读</span>,那么数据库的密码就会泄漏。用户登陆数据库后执行的SQL命令也会被<span
class=SpellE>MySQL</span>记录在用户目录的.<span class=SpellE>mysql_history</span>文件里。如果数据库用户用SQL语句修改了数据库密码,也会因.<span
class=SpellE>mysql_history</span>文件而泄漏。所以我们在shell登陆及备份的时候不要在-p后直接加密码,而是在提示后再输入数据库密码。
<br>
<br>
<br>
另外这两个文件我们也应该不让它记录我们的操作,以防万一。 <br>
<br>
shell><span class=SpellE>rm</span> .<span class=SpellE>bash_history</span>
.<span class=SpellE>mysql_history</span> <br>
<br>
shell><span class=SpellE>ln</span> -s /dev/null .<span class=SpellE>bash_history</span>
<br>
<br>
shell><span class=SpellE>ln</span> -s /dev/null .<span class=SpellE>mysql_history</span>
<br>
<br>
上门这两条命令把这两个文件链接到/dev/null,那么我们的操作就不会被记录到这两个文件里了。 <br>
<br>
3、外部网络安全 <br>
<br>
<span class=SpellE>MySQL</span>数据库安装好以后,Unix平台的user表是这样的: <br>
<br>
<span class=SpellE>mysql</span>> use <span class=SpellE>mysql</span>; <br>
<br>
Database changed <br>
<br>
<span class=SpellE>mysql</span>> select <span class=SpellE>Host,User,Password,Select_priv,Grant_priv</span>
from user; <br>
<br>
+-----------+------+----------+-------------+------------+ <br>
<br>
| Host | User | Password | <span class=SpellE>Select_priv</span> | <span
class=SpellE>Grant_priv</span> | <br>
<br>
+-----------+------+----------+-------------+------------+ <br>
<br>
| <span class=SpellE>localhost</span> | root | | Y | Y | <br>
<br>
| <span class=SpellE>redhat</span> | root | | Y | Y | <br>
<br>
| <span class=SpellE>localhost</span> | | | N | N | <br>
<br>
| <span class=SpellE>redhat</span> | | | N | N | <br>
<br>
+-----------+------+----------+-------------+------------+ <br>
<br>
4 rows in set (0.00 sec) <br>
<br>
Windows平台的user表是这样的: <br>
<br>
<span class=SpellE>mysql</span>> use <span class=SpellE>mysql</span>; <br>
<br>
Database changed <br>
<br>
<span class=SpellE>mysql</span>> select <span class=SpellE>Host,User,Password,Select_priv,Grant_priv</span>
from user; <br>
<br>
+-----------+------+----------+-------------+------------+ <br>
<br>
| Host | User | Password | <span class=SpellE>Select_priv</span> | <span
class=SpellE>Grant_priv</span> | <br>
<br>
+-----------+------+----------+-------------+------------+ <br>
<br>
| <span class=SpellE>localhost</span> | root | | Y | Y | <br>
<br>
| % | root | | Y | Y | <br>
<br>
| <span class=SpellE>localhost</span> | | | Y | Y | <br>
<br>
| % | | | N | N | <br>
<br>
+-----------+------+----------+-------------+------------+ <br>
<br>
4 rows in set (0.00 sec) 我们先来看Unix平台的user表。其中<span class=SpellE>redhat</span>只是我试验机的机器名,所以实际上Unix平台的<span
class=SpellE>MySQL</span>默认只允许本机才能连接数据库。但是缺省root用户口令是空,所以当务之急是给root用户加上口令。给数据库用户加口令有三种方法:
1)在shell提示符下用<span class=SpellE>mysqladmin</span><span class=GramE>命令来改</span>root用户口令:
<br>
<br>
shell><span class=SpellE>mysqladmin</span> -<span class=SpellE>uroot</span>
password test 这样,<span class=SpellE>MySQL</span>数据库root用户的口令就被改成test了。(test只是举例,我们实际使用的口令一定不能使用这种易猜的弱口令)
<br>
<br>
2)用set password修改口令: <br>
<br>
<span class=SpellE>mysql</span>> set password for <span class=SpellE>root@localhost</span>=password(<span
class=GramE>‘</span>test<span class=GramE>‘</span>); <br>
<br>
这时root用户的口令就被改成test了。 <br>
<br>
3)直接修改user表的root用户口令: <br>
<br>
<span class=SpellE>mysql</span>> use <span class=SpellE>mysql</span>; <br>
<br>
<span class=SpellE>mysql</span>> update user set password=password(<span
class=GramE>‘</span>test<span class=GramE>‘</span>) where user=<span
class=GramE>‘</span>root<span class=GramE>‘</span>; <br>
<span class=SpellE>mysql</span>> flush privileges; <br>
<br>
这样,<span class=SpellE>MySQL</span>数据库root用户的口令也被改成test了。其中最后一句命令flush
privileges的意思是强制刷新内存授权表,<span class=GramE>否则用</span>的还是缓冲中的口令,这时非法用户还可以用root<span
class=GramE>用户及空口令</span>登陆,直到重启<span class=SpellE>MySQL</span>服务器。 <br>
<br>
我们还看到user为空的匿名用户,虽然它在Unix平台下没什么权限,但为了安全起见我们应该删除它: <br>
<br>
<span class=SpellE>mysql</span>> delete from user where user=<span
class=GramE>‘‘</span>; <br>
<br>
Windows版本<span class=SpellE>MySQL</span>的user表有很大不同,我们看到Host字段除了<span
class=SpellE>localhost</span>还有是%。这里%的意思是允许任意的主机连接<span class=SpellE>MySQL</span>服务器,这是非常不安全的,给攻击者造成可乘之机,我们必须删除Host字段为%的记录:
<br>
<br>
<span class=SpellE>mysql</span>>delete from user where host=<span
class=GramE>‘</span>%<span class=GramE>‘</span>; <br>
<br>
默认root用户的空密码也是必须修改,三种修改方法和Unix平台一样。 <br>
<br>
我们注意到Host字段为<span class=SpellE>localhost</span>的匿名用户拥有所有的权限!就是说本地用户用空的用户名和空的口令登陆<span
class=SpellE>MySQL</span>数据库服务器可以得到最高的权限!所以匿名用户必须删除! <br>
<br>
<span class=SpellE>mysql</span>> delete from user where user=<span
class=GramE>‘‘</span>; <br>
<br>
对user表操作以后不要忘了用flush privileges来强制刷新内存授权表,这样才能生效。 <br>
<br>
默认安装的Windows版<span class=SpellE>MySQL</span>存在的不安全因素太多,我们在安装后一定要进一步配置! <br>
<br>
<span class=SpellE>MySQL</span>的5个授权表:user, db, host, <span class=SpellE>tableserials_priv</span>和<span
class=SpellE>columnserials_priv</span>提供非常灵活的安全机制,从<span class=SpellE>MySQL</span>
3.22.11开始引入了两条语句GRANT和REVOKE来创建和删除用户权限,可以方便的限制哪个用户可以连接服务器,从哪里连接以及连接后可以做什么操作。作为<span
class=SpellE>MySQL</span>管理员,我们必须了解授权表的意义以及如何用GRANT和REVOKE来创建用户、授权<span
class=GramE>和撤权</span>、删除用户。 在3.22.11版本以前的<span class=SpellE>MySQL</span>授权机制不完善,和新版本也有较大的不同,建议升级到最新版本的<span
class=SpellE>MySQL</span>。(本书的操作例子是以<span class=SpellE>MySQL</span> 3.23.49
<br>
<br>
为样本)我们先来了解授权表的结构。 1)<span class=SpellE>MySQL</span>授权表的结构与内容: <br>
<br>
<span class=SpellE>mysql</span>> <span class=SpellE>desc</span> user; <br>
<br>
+-----------------+-----------------+------+-----+---------+-------+ |
Field | Type | Null | Key | Default | Extra |
+-----------------+-----------------+------+-----+---------+-------+ <br>
<br>
| Host | char(60) binary | | PRI | | | <br>
<br>
| User | char(16) binary | | PRI | | | <br>
<br>
| Password | char(16) binary | | | | | <br>
<br>
| <span class=SpellE>Select_priv</span> | <span class=SpellE>enum</span>(<span
class=GramE>‘</span>N<span class=GramE>‘</span>,<span class=GramE>‘</span>Y<span
class=GramE>‘</span>) | | | N | | <br>
<br>
| <span class=SpellE>Insert_priv</span> | <span class=SpellE>enum</span>(<span
class=GramE>‘</span>N‘,‘Y‘) | | | N | | <br>
<br style='mso-special-character:line-break'>
<![if !supportLineBreakNewLine]><br style='mso-special-character:line-break'>
<![endif]></span></span></p>
</td>
</tr>
</table>
</div>
<p class=MsoNormal><span lang=EN-US style='display:none;mso-hide:all'><o:p> </o:p></span></p>
<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>
</td>
</tr>
</table>
</div>
<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>
</div>
</body>
</html>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -