使用微信掃一掃
掃一掃關注官方微信 MYSQL數據庫的五大安全防護措施
- 來源:縱橫數據
- 作者:中橫科技
- 時間:2013/1/22 14:19:15
- 類別:新聞資訊
以技術為基礎的企業里最有價值的資產莫過于是客戶或者其數據庫中的產品信息了。因此,在這樣的企業中,保證數據庫免受外界攻擊是數據庫管理的重要環節。很多數據庫管理員并沒有實施什么數據庫保護措施,只是因為覺得做起來太“棘手”太“復雜”。但如果你使用MySQL,你只需要用這些簡單的方法就能夠大大減少你所面臨的風險;
第一步:使用安全密碼
只有在使用密碼的情況下,用戶帳戶才能得到安全保障。因此,當你安裝MySQL時要做的第一件事就是給MySQL的根帳戶設置一個密碼(默認情況下密碼為空)。當你堵住這個大漏洞之后,下一步就是要求每一個用戶帳戶都設置好自己的密碼,并確保沒有使用具有啟發式信息的容易被識破的密碼。
第二步:檢查配置文件的許可
很多時候,為了使香港服務器連接更加快捷方便,無論是個人用戶還是服務器管理員都把他們的用戶帳號密碼存儲在MySQL的per-user選項文件中。但是,這個密碼是以純文本形式存儲在這個文件中的,很容易就會被讀取。因此,確保系統的其他用戶無法查看類似于per-user這種配置文件,并把這些文件存儲在非公共區域就顯得至關重要。
第三步:對客戶端服務器傳輸進行加密
在MySQL的客戶端服務器架構中,關于在網絡中傳輸數據時保證數據安全的問題非常重要。如果客戶端服務器事務是以明文的方式進行的,那么黑客很容易就能發現這些傳輸中的數據包,并從中獲取敏感信息。想要堵住這個漏洞,你可以激活MySQL設置中的SSL,或者使用OpenSSH這類的安全外殼實用程序,以便為通過的數據創造一個安全的加密通道。通過這種方式對客戶端服務器連接進行加密,未經授權的用戶就很難讀取這些不斷在通道中往來傳輸的數據了。
第四步:禁用遠程訪問功能
如果你的用戶不需要對服務器進行遠程訪問,那你就可以通過強制所有的MySQL連接都通過UNIX的socket文件進行,這樣做可以大大降低受到網絡攻擊的風險。設置服務器使用了--skip-networking選項啟動,這樣做能夠屏蔽MySQL的TCP/IP網絡連接,并確保沒有用戶能夠遠程連接到系統。
第五步:積極監控MySQL的訪問日志
MySQL里具有很多不同的日志文件,用來記錄客戶端連接、查詢和服務器錯誤。其中最重要的就是通用查詢日志(general query log),其中以時間戳記錄了每一個客戶端連接和斷開連接,并記錄了客戶端執行每一次查詢的情況。如果你懷疑MySQL出現了不尋常的活動,例如和網絡侵入有關的活動,那么最好對這個日志進行監控,往往就可以查出此類活動的源頭。
許多安全專家都認為,對于大多數機構而言,遭遇安全事故其實可以算是種必然情況,惟一的區別在于具體的發生時間。有鑒于此,還是建議用戶們打造一套有序的事故警示機制,以其盡可能減少漏洞安全問題所帶來的影響及損失;
