Mysql的默认安装参数是mysql性能最好的配置方法,但会造成数据部安全,且服务器也面临被入侵的风险,也有可能会在短时间内,出现一些性能的问题
这边文章从不同的角度去配置mysql的参数,提高安全的方法,你不能去限制别人而已攻击你的mysql db server,但你可以让他攻击和破解浪费更多的时间
一:用户和密码设置
刚安装好的mysql是没有密码的,只要能登陆到server主机的都可以无限制的访问和操作mysql 数据库,所以设置密码,是管理mysql数据库的第一步
Mysqladmin -u root password “密码”
因为mysql中的root是超级用户,很多攻击者都是想要获取root的密码,根据这点可以更改root的用户名,降低风险
mysql> update user set user='biao' where user='root';
Query OK, 1 row affected (0.22 sec)
Rows matched: 1 Changed: 1 Warnings: 0
也就是说将root的用户名更改为biao,密码和host都是不变的,之后如果再使用root账户登录,就是会提示你被拒绝的
二:增加用户和权限的设置
如果需要给开发或者维护人员添加账号,对权限进行处理,能赋予只读的就赋予只读的权限,或者对特定数据库名给写的权限,以及对登录IP也可以进行限制
GRANT ALL ON *.* TO 'root'@'%'; 这样是对所有的主机都可以访问,只要root的密码是正确的
也可以是域名
GRANT ALL ON *.* TO 'root'@'aaa.bbb.com';会解析域名的主机,主机可以访问mysql db
也可以是网段
GRANT ALL ON *.* TO 'root'@’192.168.1.%';表示192.168.1.1~254的IP地址都可以访问mysql db
也可以通过linux的iptables 定义访问策略
三:删掉mysql的测试库
[root@test02 ~]# mysql -D test
不需要验证即可登录到库
mysql> drop database test;
Query OK, 1 row affected (0.13 sec)
Test库不需要任何验证都可以登录,不安全,且是测试库,可以删掉
四:禁用LOCAL INFILE
禁用”LOAD DATA LOCAL INFILE”命令,这有助于防止非授权用户访问本地文件。在PHP应用程序中发现有新的SQL注入漏洞时,这样做尤其重要。
此外,在某些情况下,LOCAL INFILE命令可被用于访问操作系统上的其它文件(如/etc/passwd),应使用下现的命令:
mysql> LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE table1
更简单的方法是:
mysql> SELECT load_file("/etc/passwd")
为禁用LOCAL INFILE命令,应当在MySQL配置文件的[mysqld]部分增加下面的参数:
set-variable=local-infile=0
五:移除匿名账户和不用的账户
有些mysql中,数据库的用户名为空,对应host主机的任何人都可以连接到数据库,使用命令检查:
mysql> select user,host from mysql.user where user='';
+------+-----------+
| user | host |
+------+-----------+
| | localhost |
| | test02 |
+------+-----------+
2 rows in set (0.00 sec)
删除这些存在安全隐患的用户名
mysql> delete from mysql.user where user='';
Query OK, 2 rows affected (0.00 sec)
如果需要给相应的主机赋予权限,使用grant语句就可以
六:系统权限的管理
在安装和配置mysql的时候,mysql的主要的配置目录/data/mysql 数据存储目录,/usr/local/mysql是mysql的程序安装目录,一般都是将二者的属主和属组 赋予给 mysql用户和mysql组,再设置权限的时候:chmod -R 774 即可,注意:mysql用户要设置密码
七:mysql的命令历史
在用户访问的mysql控制台中,所有的历史命令都被记录在~/.mysql_history,如果攻击者访问这个文件,就可以获取到mysql的结构信息
Cat ~/.mysql_history
为了移除和禁用这个文件,可以将日志发送到/dev/null
$export mysql_histfile=/dev/null
八:安全补丁
经常关注mysql官网的相关信息,进行补丁的查看和修复
九:mysql启用日志
用来记录mysql实例对某种条件作出响应时写入的文件,如错误日志文件、二进制日志文件、慢查询日志文件、查询日志文件
错误文件:通过 show variables like ‘log_error' 查看日志的放置路径
Mysql中经常用到的是二进制日志和redo log,二者简单的区别在于:
二进制日志文件会记录所有与mysql相关的日志记录,包括innodb、myisam、bdb等其他存储引擎日志,而innodb的redo log只存储有关的本身事务日志。
二进制日志文件,不管日志的记录格式是statement或者ROW或者mixed,其记录的都是一个事务的具体操作。而innodb的redo log记录的关于每个页的更改的物理情况
日志的写入时间:二进制日志写入是在事务提交前进行记录的,而事务进行的过程中,不断有重做日志条目被写入到redo log中
启用二进制日志:
log-bin=mysql-bin 一般是放在了mysql的datadir下
十:mysql的数据备份
Mysql的备份方式有:mysqldump,直接copy文件,以及在线备份工具:xtrabackup
Mysqldump和直接copy文件对 myisam的存储引擎比较方便,
借用工具:xtrabackup 可以在线备份innodb的数据文件
简单的描述下二者的操作原理
Mysqldump 采用SQL级别的备份机制,它将数据表导成 SQL 脚本文件,在不同的 MySQL 版本之间升级时相对比较合适,建议加上--opt参数,快速的导入和导出
对于InnoDB,XtraBackup基于InnoDB的crash-recovery功能进行备份。
crash-recovery是这样的:InnoDB维护了一个redo log,又称为 transaction log,也叫事务日志,它包含了InnoDB数据的所有改动情况。InnoDB启动的时候先去检查datafile和transaction log,然后应用所有已提交的事务并回滚所有未提交的事务。
XtraBackup在备份的时候并不锁定表,而是一页一页地复制InnoDB的数据,与此同时,XtraBackup还有另外一个线程监视着transactions log,一旦log发生变化,就把变化过的log pages复制走(因为transactions log文件大小有限,写满之后,就会从头再开始写,新数据可能会覆盖到旧的数据,所以一旦变化就要立刻复制走)。在全部数据文件复制完成之后,停止复制logfile。
本文转自天真花语 51CTO博客,原文链接:http://blog.51cto.com/caibird/1338905,如需转载请自行联系原作者
