歡迎光臨
每天分享高質量文章

簡單幾招提高MySQL安全性

來自:老葉茶館(微信號:iMySQL_WX)

導讀

如何提高MySQL的安全性

資料庫的安全性無疑很重要,這裡教大家幾招簡單方法提高安全性。

1. 正確設置 datadir 權限樣式

關於 datadir 正確的權限樣式是 0750,甚至是 0700。

也就是最多只允許 mysqld 行程屬主用戶及其所在用戶組可訪問,但只有屬主可修改檔案。

最好是直接設置成 0700,相對更安全些,避免資料檔案意外泄漏。

[yejr@imysql.com]# chown -R mysql.mysql /data/mysql57
[yejr@imysql.com]# chmod 0700 /data/mysql57

[yejr@imysql.com]# ls -la /data/
drwxr-x---.  8 mysql mysql 4096 Feb 14 08:08 mysql57

2. 將 mysql socket 檔案放在 datadir 下

很多人習慣將 mysql socket檔案放在 /tmp 目錄下。

尤其是跑多實體時,/tmp 目錄下可能有 mysql3306.sock、mysql3307.sock、mysql3308.sock 等多個這樣的檔案。 

要註意,mysql.sock 檔案預設的權限樣式是 0777,也就是任何人都有機會通過 /tmp 目錄下的 socket 檔案直接登入 mysql,尤其是root密碼為空或弱密碼,並且還允許本地 socket 方式登入時,是個比較危險的安全隱患。 

因此,我們強烈建議把 mysql socket 檔案放置在每個實體自己的 datadir 下,並且參考第一條建議,設置正確的權限樣式。同時甚至也可以把 mysql.sock 檔案權限樣式修改為 0700。

[yejr@imysql.com]# chmod 0700 /data/mysql57/mysql.sock

[yejr@imysql.com]# ls -la /data/mysql57/mysql.sock
srwx------. 1 mysql mysql 0 Feb 12 16:00 /data/mysql57/mysql.sock

3. 使用login-path

一般來說,我們會為每個mysql賬戶設置密碼,這樣是安全了,但使用和維護起來就不方便了。

每次登入都要輸入密碼,尤其是呼叫mysql client工具時,如果直接將密碼寫在client工具的選項里,則是非常危險的行為,從歷史命令就能看到密碼了,並且會有類似下麵的提示:

mysql: [Warning] Using a password on the command line interface can be insecure.

這時候,我們其實可以利用 login-path 功能來提高安全性及便利性。

login-path 特性是MySQL 5.6新增的。 

首先,利用 mysql_config_editor 配置login-path:

#選項 ”-G lp-mysql57-3306”設定login-path的別名
mysql_config_editor set -G lp-mysql57-3306 -S /data/mysql57/mysql.sock -uroot -p

設置完後,就會在該用戶的 $HOME目錄下生成 .mylogin.cnf 檔案:

[yejr@imysql.com]# ls -la ~/.mylogin.cnf
-rw-------. 1 yejr users 152 Feb 11 22:42 /home/yejr/.mylogin.cnf

[yejr@imysql.com]# file ~/.mylogin.cnf
/home/yejr/.mylogin.cnf: data

這是個加密的二進制檔案,即便用明文方式查看,也是無法顯示密碼的:

[yejr@imysql.com]# mysql_config_editor print --all
mysql_config_editor print --all
[lp-mysql57-13306]
user = root
password = *****
socket = /data/mysql57/mysql.sock

接下來可以利用 login-path 很方便的登入 mysqld 而無需額外的密碼:

[yejr@imysql.com]# mysql --login-path=lp-mysql57-13306 -e "select 1+1 from dual"
+-----+
| 1+1 |
+-----+
|   2 |
+-----+

[yejr@imysql.com]# mysqladmin --login-path=lp-mysql57-13306 pr
+----+------+-----------+----+---------+------+----------+------------------+
| Id | User | Host      | db | Command | Time | State    | Info             |
+----+------+-----------+----+---------+------+----------+------------------+
| 3  | root | localhost |    | Query   | 0    | starting | show processlist |
+----+------+-----------+----+---------+------+----------+------------------+

在做好前面兩條安全規則的前提下,即便萬一某個高權限等級用戶的 .mylogin.cnf 檔案被其他普通用戶盜取,也無法利用 socket 方式登入 mysql。

當然了,除非你之前在 login-path 里設置的是走 tcp/ip 方式,那就悲劇了~

下麵是假設 yejr 普通賬號想利用 root 賬號的 .mylogin.cnf 檔案登入,報告失敗,因為無法訪問 /data/mysql57/mysql.sock 檔案:

[yejr@imysql ~]$ /usr/local/mysql57/bin/mysql --login-path=lp-mysql57-13306
ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/data/mysql57/mysql.sock' (13)


●本文編號289,以後想閱讀這篇文章直接輸入289即可

●輸入m獲取到文章目錄

推薦↓↓↓

 

Web開發

更多推薦18個技術類公眾微信

涵蓋:程式人生、演算法與資料結構、黑客技術與網絡安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。

赞(0)

分享創造快樂