好的网站开发公司,亚翔建设集团有限公司网站,python 交互 wordpress,周口网站建设专家前些天发现了一个巨牛的人工智能学习网站#xff0c;通俗易懂#xff0c;风趣幽默#xff0c;忍不住分享一下给大家。点击跳转到网站。
简介
有许多在 Linux 和类 Unix 系统上可用的 SQL 数据库语言实现。MySQL 和 MariaDB 是在服务器环境中部署关系型数据库的两个流行选项…前些天发现了一个巨牛的人工智能学习网站通俗易懂风趣幽默忍不住分享一下给大家。点击跳转到网站。
简介
有许多在 Linux 和类 Unix 系统上可用的 SQL 数据库语言实现。MySQL 和 MariaDB 是在服务器环境中部署关系型数据库的两个流行选项。
然而像大多数软件一样如果配置不正确这些工具可能成为安全隐患。本教程将指导您完成一些基本步骤以确保您的 MariaDB 或 MySQL 数据库安全并确保它们不会成为您的 VPS 的后门。
为了简单和说明的目的我们将在 Ubuntu 12.04 VPS 实例上使用 MySQL 服务器。然而这些技术也适用于其他 Linux 发行版并且也可以用于 MariaDB。
初始设置
在安装过程中MySQL 会要求您设置 root 密码。
sudo apt-get install mysql-server您随时可以在以后设置 root 密码但没有理由跳过此步骤因此您应该从一开始就保护好管理员帐户。
安装完成后我们应该运行一些包含的脚本。首先我们将使用 “mysql_install_db” 脚本为我们的数据库创建一个目录布局。
sudo mysql_install_db接下来运行名为 “mysql_secure_installation” 的脚本。这将引导我们完成一些程序以删除一些在生产环境中使用的危险默认设置。
sudo mysql_secure_installation安全注意事项
保护 MySQL以及几乎任何其他系统的总体主题是只有在绝对必要时才授予访问权限。您的数据安全有时取决于方便和安全之间的平衡。
在本指南中我们将倾向于安全一侧尽管您对数据库软件的具体使用可能会导致您从这些选项中进行选择。
通过 My.cnf 文件实现安全
MySQL 的主要配置文件是一个名为 “my.cnf” 的文件它位于 Ubuntu 的 “/etc/mysql/” 目录和其他一些 VPS 的 “/etc/” 目录中。
我们将更改此文件中的一些设置以锁定我们的 MySQL 实例。
以 root 权限打开文件。如果您在不同的系统上按照本教程操作请根据需要更改目录路径
sudo nano /etc/mysql/my.cnf我们应该检查的第一个设置是 “[mysqld]” 部分中的 “bind-address” 设置。此设置应设置为您的本地回环网络设备即 “127.0.0.1”。
bind-address 127.0.0.1这确保了 MySQL 除了本地机器外不接受任何连接。
如果您需要从另一台机器访问此数据库请考虑通过 SSH 进行连接以在本地进行数据库查询和管理并通过 ssh 隧道发送结果。
我们将要修补的下一个漏洞是允许从 MySQL 中访问底层文件系统的功能。这可能会带来严重的安全问题除非绝对需要否则应该关闭。
在文件的相同部分我们将添加一个指令来禁用此功能以加载本地文件
local-infile0这将禁止没有文件级别权限的用户从文件系统加载文件。
如果我们有足够的空间并且不是在操作大型数据库记录额外信息可以帮助我们监视可疑活动。
记录太多可能会导致性能下降因此这是您需要仔细权衡的事情。
您可以在我们一直在添加的同一个 “[mysqld]” 部分内设置日志变量。
log/var/log/mysql-logfile确保 MySQL 日志、错误日志和 mysql 日志目录不是全局可读的
sudo ls -l /var/log/mysql*从内部保护 MySQL
在使用 MySQL 时有许多步骤可以提高安全性。
我们将在本节中将命令输入到 MySQL 提示界面中因此我们需要登录。
mysql -u root -p您将被要求输入您之前设置的 root 密码。
保护密码和主机关联
首先确保 MySQL 中没有没有密码或主机关联的用户
SELECT User,Host,Password FROM mysql.user;如您所见在我们的示例设置中用户 “demo-user” 没有密码并且无论他在哪个主机上都是有效的。这是非常不安全的。
我们可以使用以下命令为用户设置密码。将 “newPassWord” 更改为您希望分配的密码。
UPDATE mysql.user SET PasswordPASSWORD(span classhighlightnewPassWord/span) WHERE Userspan classhighlightdemo-user/span;如果我们再次检查用户表我们将看到演示用户现在有了密码
SELECT User,Host,Password FROM mysql.user;如果我们的表中包含任何空白用户在这一点上不应该有因为我们运行了 “mysql_secure_installation”但我们仍将介绍这一点我们应该将它们删除。
要做到这一点我们可以使用以下调用从访问表中删除空白用户
DELETE FROM mysql.user WHERE User;在修改用户表后我们需要输入以下命令以实施新的权限
FLUSH PRIVILEGES;实施特定于应用程序的用户
与在 Linux 中作为独立用户运行进程的做法类似MySQL 也受益于相同类型的隔离。
使用 MySQL 的每个应用程序应该有自己的用户该用户只具有有限的权限并且只能访问它需要运行的数据库。
当我们配置新应用程序使用 MySQL 时我们应该创建该应用程序所需的数据库
create database span classhighlighttestDB/span;接下来我们应该创建一个用户来管理该数据库并仅分配它所需的权限。这将根据应用程序而异有些用途需要比其他用途更开放的权限。
要创建新用户请使用以下命令
CREATE USER span classhighlightdemo-user/spanlocalhost IDENTIFIED BY span classhighlightpassword/span;我们可以使用以下命令为新表授予新用户权限。有关特定权限的更多信息请参阅 如何在 MySQL 中创建新用户并授予权限 教程
GRANT span classhighlightSELECT,UPDATE,DELETE/span ON span classhighlighttestDB/span.* TO span classhighlightdemo-user/spanlocalhost;例如如果以后需要从帐户中撤销更新权限可以使用以下命令
REVOKE span classhighlightUPDATE/span ON span classhighlighttestDB/span.* FROM span classhighlightdemo-user/spanlocalhost;如果我们需要在某个数据库上拥有所有权限我们可以使用以下命令指定
GRANT ALL ON span classhighlighttestDB/span.* TO span classhighlightdemo-user/spanlocalhost;要显示用户的当前权限我们首先必须使用 “flush privileges” 命令实施我们指定的权限。然后我们可以查询用户拥有的授权
FLUSH PRIVILEGES;
show grants for span classhighlightdemo-user/spanlocalhost;完成更改后始终刷新权限。
更改根用户
您可能想要采取的另一个步骤是更改根登录名。如果攻击者试图访问根 MySQL 登录他们将需要执行找到用户名的额外步骤。
可以使用以下命令更改根登录名
rename user rootlocalhost to span classhighlightnewAdminUser/spanlocalhost;我们可以使用与我们一直在使用的用于用户数据库的相同查询来查看更改
select user,host,password from mysql.user;同样我们必须刷新权限以使这些更改生效
FLUSH PRIVILEGES;请记住从现在开始当您希望执行管理任务时您将需要以新创建的用户名登录到 MySQL
mysql -u span classhighlightnewAdminUser/span -p结论
尽管这绝不是 MySQL 和 MariaDB 安全实践的详尽清单但它应该为您提供了一个很好的介绍让您了解在保护数据库时需要做出的决策类型。
有关配置和安全性的更多信息可以在 MySQL 和 MariaDB 网站以及它们各自的 man 页面中找到。您选择使用的应用程序也可能提供安全建议。
