保护数据库确实是一件"麻烦"的事情,但如果你使用MySQL,阅读完本文你将学到一些方便的功能来显著减少数据库面临的风险。
删除授权表中的通配符
MySQL访问控制系统通过授权表运行,从而对数据库、表格或者栏目级别的用户访问权限进行定义。但这些表格允许管理员为一名用户设定一组许可,或一组应用通配符的表格。但这样做会有潜在的危险,因为黑客可能会利用一个受限的账户来访问系统的其他部分。由于这一原因,在设置用户特权时要谨慎,需始终保证用户只能访问他们所需的内容。在给个别用户设定超级特权时尤其要小心,因为这种权限级别允许普通用户修改服务器基本配置,并能访问整个数据库。
建议:对每个用户账户应用显示特权命令,以审查授权表,了解应用通配符许可是否恰当
要求使用安全码
用户账号的安全与保护它们的密码密切相关。因此在安装MySQL时第一件事就应该设置MySQL根账号的密码(默认为空)。修复这一漏洞后,接下来就应要求每个用户账号使用一个密码,且不要使用容易识别的启发式密码(生日、单词)
检查配置文件许可
一般来说,要使服务器连接更为快速方便,单个用户和服务器管理员必须把他们的用户账号密码存储在单用户MySQL选项文件中。但是这种密码是以纯文本形式存储在文件中的,很容易就可以查阅。因此必须保证这样的单用户配置文件不被系统中的其他用户查阅,且将它存储在非公共的位置。理想情况下,你希望单用户配置文件保存在用户的根目录,许可为0600。
加密客户与服务器之间的数据传送
MySQL客户与服务器构架的一个重要问题就是通过网络传送数据时的安全问题。如果客户与服务器之间的交互以纯文本形式发生,黑客就可能"嗅出"被传送的数据包,从而获取机密信息。你可以通过激活MySQL配置中的SSL,或应用一个openSSH这样的安全应用来为传送的数据建立一个安全的加密通道来关闭这一漏洞。以这种形式加密客户与服务器连接可使未授权用户极难查阅往来的数据。
禁止远程访问
如果用户不需要远程访问服务器,你可以迫使所有的MySQL连接通过Unix插槽文件来完成,从而大大减少网络受攻击的风险,这一过程可通过跳过网络选项启动服务器来完成。这样可以组织TCP/IP网络连接到MySQL上,保证没有用户可以远程连接系统。
建议:可以在MySQL服务器配置中添加捆绑地址127.0.0.1指令来增强这一功能,迫使MySQL捆绑本地机器的IP地址来保证只有同一系统中的用户可以连接到MySQL
积极监控MySQL访问记录
MySQL中带有很多不同的日志文件,它们记录客户连接、查询和服务器错误。其中最重要的是一般查询日志,它用书简标签记录每名用户的连接和中断时间,并记录用户执行的每个查询。如果你怀疑了不寻常的行为(如网络入侵),那么监控这个日志可以了解行为的来源。
保护你的MySQL数据库是一个日常工作。即使完成了上述操作,也还需要你利用更多的时间去了解更多的安全知识,积极监控并更新你的系统安全。
希望以上分享能为您带来启发。如果您正在寻找云服务,无论是初创项目寻求高性价比方案,还是成熟业务需要优化IT成本,都不妨了解一下非凡云。非凡云集自营服务的稳定与代理渠道的实惠于一身,或许正是您一直在寻找的"最优解"。