在線業務的人都不想冒數據庫受到損壞的風險。接下來,我們將介紹壹些實用的辦法,妳可以利用這些辦法來保護MySQL數據庫,以便加強網站的安全性。
二 保護操作系統
確保操作系統的安全是保護數據庫安全的前提,因為如果整個運行環境不安全,那麽網站上所有的東西都脆弱,很容易暴露於攻擊者。為了維護操作系統和MySQL服務器,妳可以使用以下方法:
2.1 主機數據庫服務器和web服務器分別在不同的物理機器上,如果可能,在壹個單獨的服務器上運行數據庫服務器,以預防由其他應用程序或服務的漏洞造成的服務器問題。
安裝殺毒軟件,防火墻以及所有推薦的補丁和更新,防火墻能有效地把流量過濾到MySQL服務器。為了更好的提高安全性,妳還可以實行入口封鎖。
禁用所有不必要的服務,而且這樣的服務越少越好。
2.2 保護所有帳戶和密碼
攻擊者侵入MySQL數據庫最常見的壹種方法是竊取有安全隱患的賬戶信息。為了降低出現這種風險的可能性,妳不妨試壹試下面的方法:
2.2.1. 給所有MySQL賬戶設置密碼
客戶程序並不是每次都能識別用戶,因此,如果用戶知道數據庫名但是沒有這個用戶名的密碼,那他可以指定任何其他用戶名連接到MySQL數據庫。讓每個MySQL用戶名都設置密碼,這樣壹來,要想利用匿名賬戶建立連接將會變得很困難。
2.2.2. 不要使用根用戶運行MySQL服務器
在安裝MySQL的時候,默認情況下創建了壹個命名為“root”的管理用戶。每個人都知道這壹點,所以攻擊者通常試圖侵入這個“root”用戶來獲取訪問權限。為了保障這個重要帳戶的安全,妳需要給它重新命名,然後更改壹個長並且復雜的密碼。
2.2.3妳可以在MySQL控制臺使用mysql> RENAME USER root TO new_username;
指令給根用戶重命名,使用mysql> SET PASSWORD FOR 'username'@'%hostname' =
PASSWORD('newpassword');//這是很重要的壹條命令
指令來修改密碼。
三. 減少管理員賬戶
管理員賬戶越多,風險越大,所以妳應該保持盡可能最少的帳戶數量,只有為那些真正需要它的人創建賬戶。此外,記得要刪除未使用的和匿名的賬戶。如果妳有很多管理員賬戶,那妳需要定期檢查並清理那些不必要的賬戶。
四. 加強所有的密碼
除了管理員帳戶,妳還需要加強所有其他用戶的密碼。妳可以檢查所有的用戶名和密碼,必要的時候妳還可以重置安全強度低的賬戶密碼。雖說這樣做會有點費時,但卻是有必要的。
五 限制數據庫權限
每個用戶都應該被授予適當的權限以便數據庫能夠正常運行,但這樣壹來也加大了數據庫的安全隱患。就數據庫權限而言,我們有以下幾點建議:
5.1. 不要授予非管理員用戶文件/高級/程序權限
文件,高級和程序權限都不應該被濫用。文件權限讓用戶可以在文件系統中的任何壹個地方編寫文件,而程序權限讓用戶在任何時候都能夠查看服務器活動,終止客戶端連接甚至更改服務器操作。為了妳的數據庫安全,這些權限只能授予給管理員賬戶。
5.2. 限制或禁用顯示數據庫權限
顯示數據庫特權可以用於收集數據庫信息,所以攻擊者通常利用它來竊取數據並準備進壹步攻擊。妳應該把這個權限授予那些真正需要的人,或者直接禁用這個權
限,妳只需要把skip-show-database添加到MySQL數據庫中的/etc/my.cnf配置文件中。對於Windows操作系統來說,則
需要添加到my.ini文件中。
5.3. 限制管理員和所有其他用戶的權限
即使是管理員,也不要在同壹賬戶中授予所有權限。因此我們建議妳最好降低管理員賬戶訪問數據的權限。至於其他的用戶,妳最好檢查所有他們擁有的權限,以確保壹切都是合適的。
六 刪除風險組件
MySQL數據庫的默認配置有壹些不必要的組件,妳可以考慮以下建議:
6.1. 禁用LOAD DATA LOCAL INFILE指令
這個命令允許用戶讀取本地文件甚至訪問其他操作系統上的文件,這可能幫助攻擊者收集重要的信息並利用應用程序的漏洞侵入妳的數據庫。妳需要做的是把set-variable=local-infile=0插入到MySQL數據庫的my.cnf文件中,來禁用這個指令。
6.2. 刪除測試數據庫
有壹個默認的“測試”數據庫用於測試目的。由於這個數據庫有安全風險,匿名用戶也可以訪問,妳應該使用mysql> DROP database test;指令盡快把它清除掉。
6.3. 刪除歷史文件
MySQL服務器有壹個歷史文件,它可以幫助妳在安裝出錯的時候找到問題所在。歷史文件包含敏感信息,比如說密碼,如果這些信息被攻擊者獲得,那麽將會給
妳的數據庫帶來巨大的安全隱患。在安裝成功後,歷史文件並沒有什麽用,因此妳可以使用cat /dev/null >
~/.mysql_history指令來刪除文件當中的內容。
七 限制遠程訪問MySQL服務器
對於大多數用戶來說,不需要通過不安全的開放網絡來訪問MySQL服務器。妳可以通過配置防火墻或硬件,或者迫使MySQL只聽從localhost來限制主機。此外,需要SSH隧道才能進行遠程訪問。
八 如果妳想僅僅從本地主機來限制用戶建立連接,妳需要在在配置文件中添加bind-address=127.0.0.1。
8.1利用日誌記錄
啟用日誌記錄讓妳可以檢測服務器上的活動,這樣妳就可以分析失敗的登錄嘗試和敏感文件的訪問記錄,以便了解是否存在向妳的服務器和數據庫發起的惡意活動。
妳只需要把log =/var/log/mylogfile指令添加到MySQL配置文件中,就可以手動啟用日誌記錄功能。
8.2至於日誌記錄,需要註意以下兩點:
8.2.1日誌記錄僅適用於查詢數量有限的數據庫服務器。對於信息量大的服務器,這可能會導致高過載。
8.2.2由於“hostname.err”文件包含敏感數據表名和密碼,只有“root”和“mysql”才有訪問和記錄這個文件的權限。