對於新安裝的MySQL如何提升MySQL的安全級別

一 作為最流行的開源數據庫引擎，MySQL本身是非常安全的。即便如此，你仍然需要添加額外的安全層來保護你的MySQL數據庫不受攻擊，畢竟任何經營網上
在線業務的人都不想冒數據庫受到損壞的風險。接下來，我們將介紹一些實用的辦法，你可以利用這些辦法來保護MySQL數據庫，以便加強網站的安全性。

二 保護操作系統

確保操作系統的安全是保護數據庫安全的前提，因為如果整個運行環境不安全，那么網站上所有的東西都脆弱，很容易暴露於攻擊者。為了維護操作系統和MySQL服務器，你可以使用以下方法：

2.1 主機數據庫服務器和web服務器分別在不同的物理機器上，如果可能，在一個單獨的服務器上運行數據庫服務器，以預防由其他應用程序或服務的漏洞造成的服務器問題。

安裝殺毒軟件，防火牆以及所有推薦的補丁和更新，防火牆能有效地把流量過濾到MySQL服務器。為了更好的提高安全性，你還可以實行入口封鎖。

禁用所有不必要的服務，而且這樣的服務越少越好。

2.2 保護所有帳戶和密碼

攻擊者侵入MySQL數據庫最常見的一種方法是竊取有安全隱患的賬戶信息。為了降低出現這種風險的可能性，你不妨試一試下面的方法：

2.2.1. 給所有MySQL賬戶設置密碼

客戶程序並不是每次都能識別用戶，因此，如果用戶知道數據庫名但是沒有這個用戶名的密碼，那他可以指定任何其他用戶名連接到MySQL數據庫。讓每個MySQL用戶名都設置密碼，這樣一來，要想利用匿名賬戶建立連接將會變得很困難。

2.2.2. 不要使用根用戶運行MySQL服務器

在安裝MySQL的時候，默認情況下創建了一個命名為“root”的管理用戶。每個人都知道這一點，所以攻擊者通常試圖侵入這個“root”用戶來獲取訪問權限。為了保障這個重要帳戶的安全，你需要給它重新命名，然后更改一個長並且復雜的密碼。

2.2.3你可以在MySQL控制台使用mysql> RENAME USER root TO new_username; 
指令給根用戶重命名，使用mysql> SET PASSWORD FOR 'username'@'%hostname' = 
PASSWORD('newpassword');//這是很重要的一條命令

指令來修改密碼。

三. 減少管理員賬戶

管理員賬戶越多，風險越大，所以你應該保持盡可能最少的帳戶數量，只有為那些真正需要它的人創建賬戶。此外，記得要刪除未使用的和匿名的賬戶。如果你有很多管理員賬戶，那你需要定期檢查並清理那些不必要的賬戶。

四. 加強所有的密碼

除了管理員帳戶，你還需要加強所有其他用戶的密碼。你可以檢查所有的用戶名和密碼，必要的時候你還可以重置安全強度低的賬戶密碼。雖說這樣做會有點費時，但卻是有必要的。

五 限制數據庫權限

每個用戶都應該被授予適當的權限以便數據庫能夠正常運行，但這樣一來也加大了數據庫的安全隱患。就數據庫權限而言，我們有以下幾點建議：

5.1. 不要授予非管理員用戶文件/高級/程序權限

文件，高級和程序權限都不應該被濫用。文件權限讓用戶可以在文件系統中的任何一個地方編寫文件，而程序權限讓用戶在任何時候都能夠查看服務器活動，終止客戶端連接甚至更改服務器操作。為了你的數據庫安全，這些權限只能授予給管理員賬戶。

5.2. 限制或禁用顯示數據庫權限

顯示數據庫特權可以用於收集數據庫信息，所以攻擊者通常利用它來竊取數據並准備進一步攻擊。你應該把這個權限授予那些真正需要的人，或者直接禁用這個權
限，你只需要把skip-show-database添加到MySQL數據庫中的/etc/my.cnf配置文件中。對於Windows操作系統來說，則
需要添加到my.ini文件中。

5.3. 限制管理員和所有其他用戶的權限

即使是管理員，也不要在同一賬戶中授予所有權限。因此我們建議你最好降低管理員賬戶訪問數據的權限。至於其他的用戶，你最好檢查所有他們擁有的權限，以確保一切都是合適的。

六 刪除風險組件

MySQL數據庫的默認配置有一些不必要的組件，你可以考慮以下建議：

6.1. 禁用LOAD DATA LOCAL INFILE指令

這個命令允許用戶讀取本地文件甚至訪問其他操作系統上的文件，這可能幫助攻擊者收集重要的信息並利用應用程序的漏洞侵入你的數據庫。你需要做的是把set-variable=local-infile=0插入到MySQL數據庫的my.cnf文件中，來禁用這個指令。 

6.2. 刪除測試數據庫

有一個默認的“測試”數據庫用於測試目的。由於這個數據庫有安全風險，匿名用戶也可以訪問，你應該使用mysql> DROP database test;指令盡快把它清除掉。

6.3. 刪除歷史文件

MySQL服務器有一個歷史文件，它可以幫助你在安裝出錯的時候找到問題所在。歷史文件包含敏感信息，比如說密碼，如果這些信息被攻擊者獲得，那么將會給
你的數據庫帶來巨大的安全隱患。在安裝成功后，歷史文件並沒有什么用，因此你可以使用cat /dev/null > 
~/.mysql_history指令來刪除文件當中的內容。

七 限制遠程訪問MySQL服務器

對於大多數用戶來說，不需要通過不安全的開放網絡來訪問MySQL服務器。你可以通過配置防火牆或硬件，或者迫使MySQL只聽從localhost來限制主機。此外，需要SSH隧道才能進行遠程訪問。

八 如果你想僅僅從本地主機來限制用戶建立連接，你需要在在配置文件中添加bind-address=127.0.0.1。

8.1利用日志記錄

啟用日志記錄讓你可以檢測服務器上的活動，這樣你就可以分析失敗的登錄嘗試和敏感文件的訪問記錄，以便了解是否存在向你的服務器和數據庫發起的惡意活動。
你只需要把log =/var/log/mylogfile指令添加到MySQL配置文件中，就可以手動啟用日志記錄功能。

8.2至於日志記錄，需要注意以下兩點：

8.2.1日志記錄僅適用於查詢數量有限的數據庫服務器。對於信息量大的服務器，這可能會導致高過載。

8.2.2由於“hostname.err”文件包含敏感數據表名和密碼，只有“root”和“mysql”才有訪問和記錄這個文件的權限。收起

兄弟連IT教育03   | 2016-07-13 09:19

評論 

0 0

你可以這樣操作。

1. 如果MYSQL客戶端和服務器端的連接需要跨越並通過不可信任的網絡，那么需要使用ssh隧道來加密該連接的通信。

2. 使用set password語句來修改用戶的密碼，先“mysql -u root”登陸數據庫系統，然后“mysql> update mysql.user set password=password(‘newpwd’)”，最后執行“flush privileges”就可以了。

3. Mysql需要提防的攻擊有，防偷聽、篡改、回放、拒絕服務等，不涉及可用性和容錯方面。對所有的連接、查詢、其他操作使用基於acl即訪問控制列表的安全措施來完成。也有一些對ssl連接的支持。

4. 設置除了root用戶外的其他任何用戶不允許訪問mysql主數據庫中的user表;加密后存放在user表中的加密后的用戶密碼一旦泄露，其他人可以隨意用該用戶名/密碼相應的數據庫;

5. 使用grant和revoke語句來進行用戶訪問控制的工作;

6. 不要使用明文密碼，而是使用md5()和sha1()等單向的哈系函數來設置密碼;

7. 不要選用字典中的字來做密碼;

8. 采用防火牆可以去掉50%的外部危險，讓數據庫系統躲在防火牆后面工作，或放置在dmz區域中;

9. 從因特網上用nmap來掃描3306端口，也可用telnet server_host 3306的方法測試，不允許從非信任網絡中訪問數據庫服務器的3306號tcp端口，需要在防火牆或路由器上做設定;

10. 為了防止被惡意傳入非法參數，例如where id=234，別人卻輸入where id=234 or 1=1導致全部顯示，所以在web的表單中使用”或”"來用字符串，在動態url中加入%22代表雙引號、%23代表井號、%27代表單引號;傳遞未檢查過的值給mysql數據庫是非常危險的;

11. 在傳遞數據給mysql時檢查一下大小;

12. 應用程序需要連接到數據庫應該使用一般的用戶帳號，開放少數必要的權限給該用戶;

13. 在各編程接口(c c++ php perl java jdbc等)中使用特定‘逃脫字符’函數;在因特網上使用mysql數據庫時一定少用傳輸明文的數據，而用ssl和ssh的加密方式數據來傳輸;

14. 學會使用tcpdump和strings工具來查看傳輸數據的安全性，例如tcpdump -l -i eth0 -w -src or dst port 3306 strings。以普通用戶來啟動mysql數據庫服務;

15. 不使用到表的聯結符號，選用的參數 –skip-symbolic-links;

16. 確信在mysql目錄中只有啟動數據庫服務的用戶才可以對文件有讀和寫的權限;

17. 不許將process或super權限付給非管理用戶，該mysqladmin processlist可以列舉出當前執行的查詢文本;super權限可用於切斷客戶端連接、改變服務器運行參數狀態、控制拷貝復制數據庫的服務器;

18. file權限不付給管理員以外的用戶，防止出現load data ‘/etc/passwd’到表中再用select 顯示出來的問題;

19. 如果不相信dns服務公司的服務，可以在主機名稱允許表中只設置ip數字地址;

20. 使用max_user_connections變量來使mysqld服務進程，對一個指定帳戶限定連接數;

21. grant語句也支持資源控制選項;

22. 啟動mysqld服務進程的安全選項開關，–local-infile=0或1 若是0則客戶端程序就無法使用local load data了，賦權的一個例子grant insert(user) on mysql.user to ‘user_name’@'host_name’;若使用–skip-grant-tables系統將對任何用戶的訪問不做任何訪問控制，但可以用 mysqladmin flush-privileges或mysqladmin reload來開啟訪問控制;默認情況是show databases語句對所有用戶開放，可以用–skip-show-databases來關閉掉。

23. 碰到error 1045(28000) access denied for user ‘root’@'localhost’ (using password:no)錯誤時，你需要重新設置密碼，具體方法是:先用–skip-grant-tables參數啟動mysqld，然后執行 mysql -u root mysql,mysql>update user set password=password(‘newpassword’) where user=’root’;mysql>flush privileges;，最后重新啟動mysql就可以了。