搜尋
首頁資料庫mysql教程【必知必會】強化MySQL應採取的五個重要安全技巧

【必知必會】強化MySQL應採取的五個重要安全技巧

長期以來,資料庫一直是你的平衡架構的重要組成部分,可以說是最重要的部分。如今,壓力已經朝向你的大部分一次性和無狀態的基礎設施,這給你的資料庫帶來了更大的負擔,既要可靠又安全,因為所有其他伺服器不可避免地會連同其餘資料一起在資料庫中儲存有狀態資訊。

你的資料庫是每個攻擊者想要獲得的大獎。隨著攻擊變得更加複雜和網路變得更加敵對,採取額外步驟來強化資料庫比以往任何時候都更加重要。

MySQL 因其速度和整體易用性而成為開發人員和管理員最受歡迎和喜愛的資料庫。不幸的是,這種易用性是以犧牲安全為代價的。即使 MySQL 可以設定嚴格的安全控制,你的普通預設 MySQL 設定可能不會使用它們。在本文中,我將介紹強化 MySQL 資料庫應採取的五個重要步驟。

第一步:設定強密碼

對於所有資料庫使用者來說,使用強密碼很重要。鑑於大多數人不會經常手動登入資料庫,請使用密碼管理器或命令列工具 pwgen 為你的資料庫帳戶建立一個隨機的 20 個字元的密碼。即使你使用額外的 MySQL 存取控制來限制特定帳戶可以登入的位置(例如將帳戶嚴格限制為 localhost),這仍然很重要。

設定密碼的最重要的 MySQL 帳號是 root 使用者。預設情況下,在許多系統中,該用戶沒有密碼。特別是,基於Red Hat 的系統在安裝MySQL 時不會設定密碼;雖然基於Debian 的系統會在互動式安裝期間提示您輸入密碼,但非互動式安裝(就像您可能使用設定管理員執行的那樣)會跳過它。此外,你仍然可以在互動式安裝期間跳過設定密碼。

你可能認為讓 root 使用者不輸入密碼並不是什麼大的安全風險。畢竟,用戶設定為 “root@localhost”,你可能認為這意味著你必須先 root 計算機,然後才能成為該用戶。不幸的是,這意味著任何可以從localhost 觸發MySQL 用戶端的使用者都可以使用以下命令以MySQL root 使用者身分登入:

*$ mysql — user root*

因此,如果你不為root 使用者設定密碼,那麼任何能夠在您的MySQL 機器上取得本機shell 的人現在都可以完全控制你的資料庫。

要修復此漏洞,請使用mysqladmin 指令為root 使用者設定密碼:

$ sudo mysqladmin password

不幸的是,MySQL 以root使用者身分執行後台任務。一旦你設定了密碼,這些任務就會中斷,除非採取額外的步驟將密碼硬編碼到/root/.my.cnf 檔案中:

[mysqladmin]
user = rootpassword = yourpassword

但是,這意味著你必須將密碼以純文字形式儲存在主機上。但你至少可以使用Unix 檔案權限將對該檔案的存取限制為僅root 用戶:

sudo chown root:root /root/.my.cnf
sudo chmod 0600 /root/.my.cnf

#第二步:刪除匿名使用者

匿名帳戶是既沒有使用者名稱也沒有密碼的MySQL 帳戶。你不希望攻擊者在沒有密碼的情況下對你的資料庫進行任何形式的訪問,因此請在此命令的輸出中查找使用空白用戶名記錄的任何MySQL 用戶:

> SELECT Host, User FROM mysql.user;
+ — — — — — — — — — — — — + — — — -+
| Host | User |
+ — — — — — — — — — — — — + — — — -+
| 127.0.0.1 | root |
| ::1 | root |
| localhost | |
| localhost | root |
+ — — — — — — — — — — — — + — — — -+
4 rows in set (0.00 sec)

在這些根使用者中間有一個匿名使用者( localhost ),它在User 欄位中為空。你可以使用下面命令清除特定的匿名用戶:

> drop user ""@"localhost";
> flush privileges;

如果你發現任何其他匿名用戶,請確保將其刪除。

第三個步驟:遵循最小特權原則

最小特權原則是一項安全原則,可以總結如下:

只為帳戶提供執行作業所需的存取權限,而不提供更多權限。

此原則可以透過多種方式應用於 MySQL。首先當使用GRANT 命令向特定使用者新增資料庫權限時,請確保僅限制該使用者需要存取資料庫的權限:

> grant all privileges on mydb.* to someuser@"localhost" identified by 'astrongpassword';
> flush privileges;

如果該使用者只需要存取特定的資料表(例如,users 資料表),則用mydb.users  或任何你的表格的名字替換mydb.*(授予所有表格的權限)。

許多人會授予使用者對資料庫的完全存取權限;但是如果你的資料庫使用者僅只需要讀取資料而不需要更改數據,則需要額外的步驟授予對資料庫的唯讀存取權:

> grant select privileges on mydb.* to someuser@"localhost" identified by 'astrongpassword';
> flush privileges;

最後,許多資料庫使用者不會從localhost 存取資料庫,通常管理員會建立他們,像這樣:

> grant all privileges on mydb.* to someuser@"%"  identified by 'astrongpassword';
> flush privileges;

這將允許「someuser」從任何網路存取資料庫。但是,如果你有一組定義明確的內部IP,或者- 甚至更好- 已經設定了VLANS ,以便你所有應用程式伺服器與其它主機位於不同的子網路中,那麼就可以利用這個優勢來限制“someuser” ,使得該帳戶只能從特定網路存取資料庫:

> grant all privileges on mydb.* to someuser@10.0.1.0/255.255.255.0 identified by 'astrongpassword';
> flush privileges;

第四步:启用 TLS

设置强密码仅只有攻击者可以在网络上读取你的密码或者其他敏感数据的情况下才能达到此目的。因此,使用 TLS 保护你的所有网络流量比以往任何时候都更加重要。

MySQL 也不例外。

幸运的是,在 MySQL 中启用 TLS 比较简单。一旦你有了你的主机的有效证书,只需要在你的主 my.cnf 文件的 [mysqld]部分添加以下几行 :

[mysqld]
ssl-ca=/path/to/ca.crt
ssl-cert=/path/to/server.crt
ssl-key=/path/to/server.key

为了额外的安全性,还可以添加 ssl-cipher 配置选项,其中包含一个被认可的密码列表,而不是只接受默认的密码列表,这可能包括较弱的 TLS 密码。我推荐使用  Mozilla Security/Server Side TLS page 所推荐的现代或者中级密码套件。

一旦服务器端设置了 TLS ,你可以限制客户端必须采用 TLS 进行连接,通过在 GRANT 语句中添加 REQUIRE SSL :

> grant all privileges on mydb.* to someuser@10.0.1.0/255.255.255.0 identified by 'astrongpassword' REQUIRE SSL;

> flush privileges;

第五步:加密数据库密钥

虽然现在很多人都知道使用单向散列(理想情况下是像 bcrypt 这样慢速散列 ),保护用户数据库存储的密码有多重要,但通常没过多考虑使用加密来保护数据库上其他的敏感数据。事实上,许多管理员会告诉你他们的数据库是加密的,因为磁盘本身是加密的。这实际上会影响你的数据库加固,不是因为磁盘加固有缺陷或糟糕的做法,而是因为它会给你一种错误的信任感。

磁盘加密保护你的数据库数据,以防止有人从你的服务器窃取磁盘(或者你买了二手磁盘后忘记擦除磁盘),但是磁盘加密并不能在数据库本身运行时保护你,因为驱动器需要处于解密状态才能被读取。

要保护数据库中的数据,你需要采取额外的措施,在存储敏感字段之前对它们进行加密。这样如果攻击者找到了某种方法来转存完整的数据库,你的敏感字段仍然会受到保护。

有许多加密数据库中字段的方法,而且 MySQL 支持本地加密命令。无论你采取哪种加密方法,我都建议避免你需要将解密密钥存储在数据库本身的加密方法。

理想情况下,你会把解密的密钥存储在应用服务器上,作为本地GPG密钥(如果你使用GPG进行加密)或者将其存储为应用程序服务器上的环境变量。这样即使攻击者可能找到一种方法来破坏应用程序服务器的服务器,他也必须将攻击转换为本地shell访问,以此来获取你的解密密钥。

MySQL 加固原则:掌握最小权限原则

有很多方法来锁定你的MySQL服务器。确切地说,你如何实施这些步骤取决于你如何设置自己的数据库,以及它在网络中的位置。

虽然前面的五个步骤将有助于保护你的数据库,但我认为更需要掌握的最重要的整体步骤是最小权限原则。你的数据库可能存储来一些非常有用的数据,如果你确保用户和应用程序只具有执行其工作的所需的最小访问权限,那么你将限制攻击者能够做什么,如果黑客找到来危害该用户或者应用程序的方法。

【相关推荐:mysql视频教程

以上是【必知必會】強化MySQL應採取的五個重要安全技巧的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述
本文轉載於:learnku。如有侵權,請聯絡admin@php.cn刪除
MySQL的許可與其他數據庫系統相比如何?MySQL的許可與其他數據庫系統相比如何?Apr 25, 2025 am 12:26 AM

MySQL使用的是GPL許可證。 1)GPL許可證允許自由使用、修改和分發MySQL,但修改後的分發需遵循GPL。 2)商業許可證可避免公開修改,適合需要保密的商業應用。

您什麼時候選擇InnoDB而不是Myisam,反之亦然?您什麼時候選擇InnoDB而不是Myisam,反之亦然?Apr 25, 2025 am 12:22 AM

選擇InnoDB而不是MyISAM的情況包括:1)需要事務支持,2)高並發環境,3)需要高數據一致性;反之,選擇MyISAM的情況包括:1)主要是讀操作,2)不需要事務支持。 InnoDB適合需要高數據一致性和事務處理的應用,如電商平台,而MyISAM適合讀密集型且無需事務的應用,如博客系統。

在MySQL中解釋外鍵的目的。在MySQL中解釋外鍵的目的。Apr 25, 2025 am 12:17 AM

在MySQL中,外鍵的作用是建立表與表之間的關係,確保數據的一致性和完整性。外鍵通過引用完整性檢查和級聯操作維護數據的有效性,使用時需注意性能優化和避免常見錯誤。

MySQL中有哪些不同類型的索引?MySQL中有哪些不同類型的索引?Apr 25, 2025 am 12:12 AM

MySQL中有四種主要的索引類型:B-Tree索引、哈希索引、全文索引和空間索引。 1.B-Tree索引適用於範圍查詢、排序和分組,適合在employees表的name列上創建。 2.哈希索引適用於等值查詢,適合在MEMORY存儲引擎的hash_table表的id列上創建。 3.全文索引用於文本搜索,適合在articles表的content列上創建。 4.空間索引用於地理空間查詢,適合在locations表的geom列上創建。

您如何在MySQL中創建索引?您如何在MySQL中創建索引?Apr 25, 2025 am 12:06 AM

toCreateAnIndexinMysql,usethecReateIndexStatement.1)forasingLecolumn,使用“ createIndexIdx_lastNameEnemployees(lastName); 2)foracompositeIndex,使用“ createIndexIndexIndexIndexIndexDx_nameOmplayees(lastName,firstName,firstName);” 3)forauniqe instex,creationexexexexex,

MySQL與Sqlite有何不同?MySQL與Sqlite有何不同?Apr 24, 2025 am 12:12 AM

MySQL和SQLite的主要區別在於設計理念和使用場景:1.MySQL適用於大型應用和企業級解決方案,支持高性能和高並發;2.SQLite適合移動應用和桌面軟件,輕量級且易於嵌入。

MySQL中的索引是什麼?它們如何提高性能?MySQL中的索引是什麼?它們如何提高性能?Apr 24, 2025 am 12:09 AM

MySQL中的索引是數據庫表中一列或多列的有序結構,用於加速數據檢索。 1)索引通過減少掃描數據量提升查詢速度。 2)B-Tree索引利用平衡樹結構,適合範圍查詢和排序。 3)創建索引使用CREATEINDEX語句,如CREATEINDEXidx_customer_idONorders(customer_id)。 4)複合索引可優化多列查詢,如CREATEINDEXidx_customer_orderONorders(customer_id,order_date)。 5)使用EXPLAIN分析查詢計劃,避

說明如何使用MySQL中的交易來確保數據一致性。說明如何使用MySQL中的交易來確保數據一致性。Apr 24, 2025 am 12:09 AM

在MySQL中使用事務可以確保數據一致性。 1)通過STARTTRANSACTION開始事務,執行SQL操作後用COMMIT提交或ROLLBACK回滾。 2)使用SAVEPOINT可以設置保存點,允許部分回滾。 3)性能優化建議包括縮短事務時間、避免大規模查詢和合理使用隔離級別。

See all articles

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

SecLists

SecLists

SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。

mPDF

mPDF

mPDF是一個PHP庫,可以從UTF-8編碼的HTML產生PDF檔案。原作者Ian Back編寫mPDF以從他的網站上「即時」輸出PDF文件,並處理不同的語言。與原始腳本如HTML2FPDF相比,它的速度較慢,並且在使用Unicode字體時產生的檔案較大,但支援CSS樣式等,並進行了大量增強。支援幾乎所有語言,包括RTL(阿拉伯語和希伯來語)和CJK(中日韓)。支援嵌套的區塊級元素(如P、DIV),

SublimeText3 Linux新版

SublimeText3 Linux新版

SublimeText3 Linux最新版

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

DVWA

DVWA

Damn Vulnerable Web App (DVWA) 是一個PHP/MySQL的Web應用程序,非常容易受到攻擊。它的主要目標是成為安全專業人員在合法環境中測試自己的技能和工具的輔助工具,幫助Web開發人員更好地理解保護網路應用程式的過程,並幫助教師/學生在課堂環境中教授/學習Web應用程式安全性。 DVWA的目標是透過簡單直接的介面練習一些最常見的Web漏洞,難度各不相同。請注意,該軟體中