本文介紹了保護(hù)MySQL數(shù)據(jù)庫(kù)中重要數(shù)據(jù)受外部攻擊的六個(gè)注意事項(xiàng)�����,以減少面臨的風(fēng)險(xiǎn)��。
與自動(dòng)的數(shù)據(jù)庫(kù)備份不同����,對(duì)系統(tǒng)管理員來(lái)說(shuō)����,保護(hù)數(shù)據(jù)免受未授權(quán)用戶的侵犯需要采取一定的行動(dòng)。如果你用的是MySQL���,就可以使用一些方便的功能來(lái)保護(hù)系統(tǒng),來(lái)大大減少機(jī)密數(shù)據(jù)被未授權(quán)用戶訪問的風(fēng)險(xiǎn)���。
企業(yè)最有價(jià)值的資產(chǎn)通常是其數(shù)據(jù)庫(kù)中的客戶或產(chǎn)品信息�。因此�,在這些企業(yè)中�����,數(shù)據(jù)庫(kù)管理的一個(gè)重要部分就是保護(hù)這些數(shù)據(jù)免受外部攻擊�����,及修復(fù)軟/硬件故障�����。
在大多數(shù)情況下��,軟硬件故障通過數(shù)據(jù)備份機(jī)制來(lái)處理�����。多數(shù)數(shù)據(jù)庫(kù)都自帶有內(nèi)置的工具自動(dòng)完成整個(gè)過程�,所以這方面的工作相對(duì)輕松�����,也不會(huì)出錯(cuò)�。但麻煩卻來(lái)自另一面:阻止外來(lái)黑客入侵竊取或破壞數(shù)據(jù)庫(kù)中的信息。不幸的是,一般沒有自動(dòng)工具解決這一問題;而且����,這需要管理員手工設(shè)置障礙來(lái)阻止黑客,確保公司數(shù)據(jù)的安全�����。
不對(duì)數(shù)據(jù)庫(kù)進(jìn)行保護(hù)的常見原因是由于這一工作"麻煩"而"復(fù)雜"��。這確實(shí)是事實(shí)���,但如果你應(yīng)用MySQL��,就可以使用一些方便的功能來(lái)顯著減少面臨的風(fēng)險(xiǎn)����。下面列出了六項(xiàng)功能:
第一步:刪除授權(quán)表中的通配符
MySQL訪問控制系統(tǒng)通過一系列所謂的授權(quán)表運(yùn)行�����,從而對(duì)數(shù)據(jù)庫(kù)����、表格或欄目級(jí)別的用戶訪問權(quán)利進(jìn)行定義�����。但這些表格允許管理員為一名用戶設(shè)定一攬子許可,或一組應(yīng)用通配符的表格����。這樣做會(huì)有潛在的危險(xiǎn),因?yàn)楹诳涂赡軙?huì)利用一個(gè)受限的賬戶來(lái)訪問系統(tǒng)的其他部分�。由于這一原因,在設(shè)置用戶特權(quán)時(shí)要謹(jǐn)慎�,始終保證用戶只能訪問他們所需的內(nèi)容。在給個(gè)別用戶設(shè)定超級(jí)特權(quán)時(shí)要尤其小心���,因?yàn)檫@種級(jí)別允許普通用戶修改服務(wù)器的基本配置����,并訪問整個(gè)數(shù)據(jù)庫(kù)�。
建議:對(duì)每個(gè)用戶賬戶應(yīng)用顯示特權(quán)命令,以審查授權(quán)表�����,了解應(yīng)用通配符許可是否恰當(dāng)�����。
第二步:要求使用安全密碼
用戶賬號(hào)的安全與用來(lái)保護(hù)它們的密碼密切相關(guān)。因此���,在安裝MySQL時(shí)第一件事就應(yīng)該設(shè)置MySQL根賬號(hào)的密碼(默認(rèn)為空)�。修復(fù)這一漏洞后�,接下來(lái)就應(yīng)要求每個(gè)用戶賬號(hào)使用一個(gè)密碼,且不要使用生日���、用戶名或字典中的單詞這些容易識(shí)別的啟發(fā)式密碼�。
建議:應(yīng)用MySQL-安全-授權(quán)選項(xiàng)避免使用舊的�,不大安全的MySQL密碼格式。
第三步:檢查配置文件許可
一般來(lái)說(shuō)�,要使服務(wù)器連接更為快速方便,單個(gè)用戶和服務(wù)器管理員必須把他們的用戶賬號(hào)密碼存儲(chǔ)在單用戶MySQL選項(xiàng)文件中���。但是�����,這種密碼是以純文本形式存儲(chǔ)在文件中的���,很容易就可以查閱���。因此,必須保證這樣的單用戶配置文件不被系統(tǒng)中的其他用戶查閱�,且將它存儲(chǔ)在非公共的位置�。理想情況下,你希望單用戶配置文件保存在用戶的根目錄��,許可為0600.
第四步:加密客戶與服務(wù)器之間數(shù)據(jù)傳送
MySQL(及其它)客戶與服務(wù)器構(gòu)架的一個(gè)重要問題就是通過網(wǎng)絡(luò)傳送數(shù)據(jù)時(shí)的安全問題�。如果客戶與服務(wù)器間的交互以純文本形式發(fā)生,黑客就可能"嗅出" 被傳送的數(shù)據(jù)包���,從而獲得機(jī)密信息�����。你可以通過激活MySQL配置中的SSL�����,或應(yīng)用一個(gè)OpenSSH這樣的安全應(yīng)用來(lái)為傳送的數(shù)據(jù)建立一個(gè)安全的加密 "通道"�,以關(guān)閉這一漏洞�。以這種形式加密客戶與服務(wù)器連接可使未授權(quán)用戶極難查閱往來(lái)的數(shù)據(jù)。
第五步:禁止遠(yuǎn)程訪問
如果用戶不需要遠(yuǎn)程訪問服務(wù)器���,你可以迫使所有MySQL連接通過UNIX插槽文件來(lái)完成���,從而大大減少網(wǎng)絡(luò)受攻擊的風(fēng)險(xiǎn)���。這一過程可通過跳過網(wǎng)絡(luò)選項(xiàng)啟動(dòng)服務(wù)器來(lái)完成。這樣可以阻止TCP/IP網(wǎng)絡(luò)連接到MySQL上��,保證沒有用戶可以遠(yuǎn)程連接系統(tǒng)��。
建議:可以在MySQL服務(wù)器配置中添加捆綁地址127.0.0.1指令來(lái)增強(qiáng)這一功能���,迫使MySQL捆綁當(dāng)?shù)貦C(jī)器的IP地址來(lái)保證只有同一系統(tǒng)中的用戶可以連接到MySQL.
第六步:積極監(jiān)控MySQL訪問記錄
MySQL帶有許多不同的日志文件����,它們記錄客戶連接�,查詢和服務(wù)器錯(cuò)誤。其中�����,最重要的是一般查詢?nèi)罩?��,它用時(shí)間標(biāo)簽記錄每名客戶的連接和中斷時(shí)間��,并記錄客戶執(zhí)行的每個(gè)查詢�。如果你懷疑發(fā)生了不尋常的行為,如網(wǎng)絡(luò)入侵���,那么監(jiān)控這個(gè)日志以了解行為的來(lái)源是個(gè)好方法���。
保護(hù)你的MySQL數(shù)據(jù)庫(kù)是一個(gè)日常工作�����。因此�,即使完成了上述步驟,你也不應(yīng)松懈�����,了解更多安全建議�,積極監(jiān)控并更新系統(tǒng)安全。
關(guān)鍵詞標(biāo)簽:MySQL,數(shù)據(jù)庫(kù)
10款MySQL數(shù)據(jù)庫(kù)客戶端圖形界面管理工具推薦
MySQL常用維護(hù)管理工具