没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
MySQL 数据库安全配置 (1)
作者:未知
、前言
是完全网络化的跨平台关系型数据库系统,同时是具有客户机服务器体系结构的分布式数据库管
理系统。它具有功能强、使用简便、管理方便、运行速度快、安全可靠性强等优点,用户可利用许多语言
编写访问 数据库的程序,特别是与 更是黄金组合,运用十分广泛。
由于 是多平台的数据库,它的默认配置要考虑各种情况下都能适用,所以在我们自己的使用环境
下应该进行进一步的安全加固。作为一个 的系统管理员,我们有责任维护 数据库系统的
数据安全性和完整性。
数据库的安全配置必须从两个方面入手,系统内部安全和外部网络安全,另外我们还将简单介绍
编程时要注意的一些问题以及一些小窍门。
、系统内部安全
首先简单介绍一下 数据库目录结构。 安装好,运行了 脚本以后就会建
立数据目录和初始化数据库。如果我们用 源码包安装,而且安装目录是!" ,那么
数据目录一般会是!" # "。数据库系统由一系列数据库组成,每个数据库包含一系列数据
库表。 是用数据库名在数据目录建立建立一个数据库目录,各数据库表分别以数据库表名作为文
件名,扩展名分别为 $%、$&、'" 的三个文件放到数据库目录中。
的授权表给数据库的访问提供了灵活的权限控制,但是如果本地用户拥有对库文件的读权限的
话,攻击者只需把数据库目录打包拷走,然后拷到自己本机的数据目录下就能访问窃取的数据库。所以
所在的主机的安全性是最首要的问题,如果主机不安全,被攻击者控制,那么 的安全性
也无从谈起。其次就是数据目录和数据文件的安全性,也就是权限设置问题。
从 主站一些老的 " 发行版来看,()) 版本中数据目录的属性是 *,这样非常危险,
任何本地用户都可以读数据目录,所以数据库文件很不安全。()) 版本中数据目录的属性是 +,这
种属性也有些危险,本地的同组用户既能读也能写,所以数据文件也不安全。(()) 版本数据目录的属
性是 ++,这样就比较好,只有启动数据库的用户可以读写数据库文件,保证了本地数据文件的安全。
如果启动 数据库的用户是 ,那么象如下的目录和文件的是安全的,请注意数据目录及下面
的属性:
,-.!"
/+
"0)"0)".)""/+12-+3+
"0)"0)".)(""/+12-+3+!-
"0)"0)".)""/+12-+3+'
"0)"0)".)(""/+12-+3+
"0)"0)".)""/+12-+3+-)-
"0)"0)".)(""/+12-+3+
"0)"0)".)1""/+12-+3+.-
"0)"0)".)(""/+12-+3+, "-
"0)"0)".)""/+12-+3+.-,
"0)......//+12-+3+# "
,-.!" # "
"0)....../+12-+3+
"0)....../+12-+3+-
,-.!" # "
+/
."0.......+2-+3+!4"#$%
."0.......+/2-+3+!4"#$&
."0.......2-+3+!4"#'"
."0.......(+2-+3+$%
."0.......(+2-+3+$&
."0.......2-+3+'"
."0.......+2-+3+'!$%
."0.......+/2-+3+'!$&
."0.......1/2-+3+'!'"
."0.......+2-+3+,$%
."0.......+/2-+3+,$&
."0.......*2-+3+,'"
."0.......+2-+3+ -4"#$%
."0.......+/2-+3+ -4"#$&
."0.......2-+3+ -4"#'"
."0......./2-+3+!-"$%
."0.......+/2-+3+!-"$&
."0......./2-+3+!-"'"
如果这些文件的属主及属性不是这样,请用以下两个命令修正之:
,-,0.5!" # "
,-,.56."0)!" # "
用 " 用户启动远程服务一直是安全大忌,因为如果服务程序出现问题,远程攻击者极有可能获得主机
的完全控制权。 从 ((* 版本开始时作了小小的改动,默认安装后服务要用 用户来启
动,不允许 " 用户启动。如果非要用 " 用户来启动,必须加上..!-"7" 的参数8 '-
..!-"7"9:。因为 中有 ;<%%<=<&>2&? 和 ??@=&>=;;A=2&? 的 语句,
如果是 " 用户启动了 服务器,那么,数据库用户就拥有了 " 用户的写权限。不过
还是做了一些限制的,比如 ;<%%<=<&>2&? 只能读全局可读的文件,??@=&>=;;A=2&?
不能覆盖已经存在的文件。
本地的日志文件也不能忽视,包括 ,- 的日志和 自己的日志。有些用户在本地登陆或备份数据
库的时候为了图方便,有时会在命令行参数里直接带了数据库的密码,如:
,-!" !4.!".4---
,-!" .!".4-
这些命令会被 ,- 记录在历史文件里,比如 , 会写入用户目录的 ,," 文件,如果这些文
件不慎被读,那么数据库的密码就会泄漏。用户登陆数据库后执行的 命令也会被 记录在用
户目录的," 文件里。如果数据库用户用 语句修改了数据库密码,也会
因," 文件而泄漏。所以我们在 ,- 登陆及备份的时候不要在.4 后直接加密码,而是在提
示后再输入数据库密码。
另外这两个文件我们也应该不让它记录我们的操作,以防万一。
,-" ,,","
,-.-#! ,,"
,-.-#!,"
上门这两条命令把这两个文件链接到-#!,那么我们的操作就不会被记录到这两个文件里了。
(、外部网络安全
数据库安装好以后,A) 平台的 !-" 表是这样的:
!-B
% -, 6-
--CA-"C 0"C--4"#CD" 4"#'"!-"B
E...........E......E..........E.............E............E
FFA-"F 0"F--4"#FD" 4"#F
E...........E......E..........E.............E............E
F ,F"FF$F$F
F"-, F"FF$F$F
F ,FFF>F>F
F"-, FFF>F>F
E...........E......E..........E.............E............E
/"0-8+++-:
G0 平台的 !-" 表是这样的:
!-B
% -, 6-
--CA-"C 0"C--4"#CD" 4"#'"!-"B
E...........E......E..........E.............E............E
FFA-"F 0"F--4"#FD" 4"#F
E...........E......E..........E.............E............E
F ,F"FF$F$F
FHF"FF$F$F
F ,FFF$F$F
FHFFF>F>F
E...........E......E..........E.............E............E
/"0-8+++-:
我们先来看 A) 平台的 !-" 表。其中 "-, 只是我试验机的机器名,所以实际上 A) 平台的
默认只允许本机才能连接数据库。但是缺省 " 用户口令是空,所以当务之急是给 " 用户加
上口令。给数据库用户加口令有三种方法:
:在 ,- 提示符下用 命令来改 " 用户口令3
,- .!"4 0"-
这样, 数据库 " 用户的口令就被改成 - 了。(- 只是举例,我们实际使用的口令一定不
能使用这种易猜的弱口令)
:用 -4 0" 修改口令:
-4 0"'"" ,74 0"8I-I:B
这时 " 用户的口令就被改成 - 了。
(:直接修改 !-" 表的 " 用户口令:
!-B
!4 -!-"-4 0"74 0"8I-I:0,-"-!-"7I"IB
J!,4"#-6-B
这样, 数据库 " 用户的口令也被改成 - 了。其中最后一句命令 J!,4"#-6- 的意思是
强制刷新内存授权表,否则用的还是缓冲中的口令,这时非法用户还可以用 " 用户及空口令登陆,直
到重启 服务器。
我们还看到 !-" 为空的匿名用户,虽然它在 A) 平台下没什么权限,但为了安全起见我们应该删除
它:
---'"!-"0,-"-!-"7IIB
G0 版本 的 !-" 表有很大不同,我们看到 字段除了 , 还有是H。这里H的
意思是允许任意的主机连接 服务器,这是非常不安全的,给攻击者造成可乘之机,我们必须删除
剩余44页未读,继续阅读
资源评论
老帽爬新坡
- 粉丝: 82
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- BGP路由基本配置(拓扑图画好,ip配好了)
- C#的前置窗口截图工具
- 基于Flask开发后端、VUE开发前端框架,在WEB端部署YOLOv5目标检测模型
- kubekeyv3.0.13
- 基于SHT25温湿度传感器、FREERTOS、STM32F103C8T6、LCD1602温湿度采集显示系统proteus仿真设计
- C# 屏幕放大取色器 随时随地获取屏幕像素颜色
- 下载安装这个软件.apk
- 【数据集详细解释及案例分析】数据集详细解释及案例分析
- 基于SHT71温湿度传感器、STM32F103C8T6、LCD1602温湿度采集显示系统proteus仿真设计
- 基于TH02温湿度传感器、STM32F103C8T6、LCD1602、FREERTOS的温湿度采集系统proteus仿真设计
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功