保障MySQL數(shù)據(jù)安全的14個最佳方法

MySQL數(shù)據(jù)安全的14個最正確方法MySQL安全的最正確方法。MySQLWEBMySQL數(shù)據(jù)庫。運行，企業(yè)由此也可以盡快贏利。險，并有可能在短時間內就消滅性能問題。下面將供給保障MySQL安全的最正確方法。1、避開從互聯(lián)網(wǎng)訪問MySQL數(shù)據(jù)庫，確保特定主機才擁有訪問特權數(shù)據(jù)庫的訪問：GRANTALLON*.*TO”root”@”%”;這其實是完全放開了對root的訪問。所以，把重要的操作限制給特定主機格外重要：GRANTALLON*.*TO”root”@”localhost”;GRANTALLON*.*TO”root”@”myip.athome”FLUSHPRIVILEGES不管其是否靜態(tài))可以訪問。2、定期備份數(shù)據(jù)庫有為最糟糕的狀況做好了充分的預備，才能夠在事后快速地從災難中恢復。企業(yè)最好把備份過程作為效勞器的一項日常工作。目前國內軟件多備份在這方面做得很好，基于Cloud5技術實現(xiàn)多個云平臺的數(shù)據(jù)互通，自動備份，幫助企業(yè)或個人進展數(shù)據(jù)保護和治理。當消滅任何問題時，馬上一鍵恢復，即可把原來的數(shù)據(jù)都恢復，做到?原地滿血復活?3、禁用或限制遠程訪問TCPwrappers、iptables或任何其它的防火墻軟件或硬件實現(xiàn)的。fmy.ini的[mysqld]局部增加下面的參數(shù)：skip-networking/etc/mysql/MySQL啟動期間，禁用了網(wǎng)絡連接的初始化。請留意，在這里MySQL效勞器的本地連接。MySQLf的[mysqld]局部增加下面一行：bind-address=web效勞器，你可能不太情愿禁用網(wǎng)絡訪問。此時，不妨考慮下面的有限許可訪問：mysql>GRANTSELECT,INSERTONmydb.*TO”someuser”@”somehost”;someusersomehost換成相應的主機。4root用戶的口令并轉變其登錄名口令。固然，要轉變默認的空口令，其方法如下：AccessMySQL掌握臺：$mysql-uroot-pMySQL掌握臺中執(zhí)行：SETPASSWORDFOR”root”@”localhost”=PASSWORD(”new_password”);換成實際的口令即可。rootmysqladmin工具：$mysqladmin-urootpasswordnew_password換成實際的口令即可。固然，這是需要使用強口令來避開強力攻擊。為了更有效地改進rootmySQL數(shù)據(jù)庫。在MySQL掌握臺中進展操作：USEmysql;UPDATEuserSETuser=“another_username“WHEREuser=“root“;FLUSHPRIVILEGES;LinuxMySQL掌握臺就要使用用戶名了：$mysql-uanother_username-p5、移除測試(test)數(shù)據(jù)庫MySQLtest數(shù)據(jù)庫。我們可以移除任何無用的數(shù)據(jù)庫，以避開在不行預料的狀況下訪問了數(shù)據(jù)庫。因而，在MySQL掌握臺中，執(zhí)行：DROPDATABASEtest;6LOCALINFILE另一項轉變是禁用”LOADDATALOCALINFILE”命令，這有助于防止非授權用戶訪問本地文件。在PHPSQL注入漏洞時，這樣做尤其重要。INFILE命令可被用于訪問操作系統(tǒng)上的其它文件(如/etc/passwd)，應使用下現(xiàn)的命令：mysql>LOADDATALOCALINFILE”/etc/passwd”INTOTABLEtable1更簡潔的方法是：mysql>SELECTload_file(“/etc/passwd“)INFILEMySQL配置文件的[mysqld]局部增加下面的參數(shù)：set-variable=local-infile=07、移除匿名賬戶和廢棄的賬戶命令進展檢查：mysql>select*frommysql.userwhereuser=““;在安全的系統(tǒng)中，不會返回什么信息。另一種方法是：mysql>SHOWGRANTSFOR””@”localhost”;mysql>SHOWGRANTSFOR””@”myhost”;“test”shell>mysql-ublablabla假設要移除賬戶，則執(zhí)行命令：mysql>DROPUSER““;MySQL5.0DROPUSER命令。假設你使用的老版本的MySQL，你可以像下面這樣移除賬戶：mysql>usemysql;mysql>DELETEFROMuserWHEREuser=““;mysql>flushprivileges;8、降低系統(tǒng)特權常見的數(shù)據(jù)庫安全建議都有“降低給各方的特權”這一說法。對于MySQL也是如此。一般狀況下，開MySQL數(shù)據(jù)庫的文件名目是由”mysql”用戶和mysql”組所擁有的。shell>ls-l/var/lib/mysql”mysql”root用戶可以訪問/var/lib/mysql名目。/usr/bin/root用戶或特定的”mysql”件，其它用戶不應當擁有“寫”的訪問權：shell>ls-l/usr/bin/my*9、降低用戶的數(shù)據(jù)庫特權MySQL的，安全人員不應當賜予這個用戶完全的訪問權。MySQLSHOWGRANT>SHOWGRANTSFOR”user”@”localhost”;GRANT命令。在下面的例子中，user1dianshangbilling表中選擇：GRANTSELECTONbilling.dianshangTO”user1”@”localhost”;FLUSHPRIVILEGES;如此一來，user1用戶就無法轉變數(shù)據(jù)庫中這個表和其它表的任何數(shù)據(jù)。另一方面，假設你要從一個用戶移除訪問權，就應使用一個與GRANT命令類似的REVOKE命令：REVOKESELECTONbilling.ecommerceFROM”user1”@”localhost”;FLUSHPRIVILEGES;10、移除和禁用.mysql_history文件~/.mysql_history中。假設攻擊者訪問這個文件，他就可以知道數(shù)據(jù)庫的構造。$cat~/.mysql_history為了移除和禁用這個文件，應將日志發(fā)送到/dev/null。$exportMYSQL_HISTFILE=/dev/null上述命令使全部的日志文件都定向到/dev/null，你應當從home文件夾移除.mysql_history：$rm~/.mysql_history，并創(chuàng)立一個到/dev/null的符號鏈接。11、安全補丁務必保持數(shù)據(jù)庫為最版本。由于攻擊者可以利用上一個版本的漏洞來訪問企業(yè)的數(shù)據(jù)庫。12、啟用日志假設你的數(shù)據(jù)庫效勞器并不執(zhí)行任何查詢，建議你啟用跟蹤記錄，你可以通過在/etc/f文件的[Mysql]局部添加：log=/var/log/mylogfile。rootmysql可以訪問這些日志文件。錯誤日志rootmysqlhostname.errmysql數(shù)據(jù)歷史中。該文據(jù)。MySQL日志確保只有root和mysql可以訪問logfileXY日志文件，此文件存放在mysql的歷史名目中。13root名目Unixchrootrootroot權限的程序無法訪問或命名此名目之外的文件，此名目被稱為“chroot監(jiān)獄”。chroot環(huán)境，你可以限制MySQL進程及其子進程的寫操作，增加效勞器的安全性。MySQL配置文件的[client]局部轉變下面的參數(shù)：[client]socket=/chroot/mysql/tmp/mysql.sock14LOCALINFILE命令LOADDATALOCALINFILE可以從文件系統(tǒng)中讀取文件，并顯示在屏幕中或保存在數(shù)據(jù)庫中。假設SQL注入漏洞，這個