來自:老葉茶館(微訊號:iMySQL_WX)
導讀
如何提高MySQL的安全性
資料庫的安全性無疑很重要,這裡教大家幾招簡單方法提高安全性。
1. 正確設定 datadir 許可權樣式
關於 datadir 正確的許可權樣式是 0750,甚至是 0700。
也就是最多隻允許 mysqld 行程屬主使用者及其所在使用者組可訪問,但只有屬主可修改檔案。
最好是直接設定成 0700,相對更安全些,避免資料檔案意外洩漏。
[yejr@imysql.com]# chown -R mysql.mysql /data/mysql57
[yejr@imysql.com]# chmod 0700 /data/mysql57
[yejr@imysql.com]# ls -la /data/
drwxr-x---. 8 mysql mysql 4096 Feb 14 08:08 mysql57
2. 將 mysql socket 檔案放在 datadir 下
很多人習慣將 mysql socket檔案放在 /tmp 目錄下。
尤其是跑多實體時,/tmp 目錄下可能有 mysql3306.sock、mysql3307.sock、mysql3308.sock 等多個這樣的檔案。
要註意,mysql.sock 檔案預設的許可權樣式是 0777,也就是任何人都有機會透過 /tmp 目錄下的 socket 檔案直接登入 mysql,尤其是root密碼為空或弱密碼,並且還允許本地 socket 方式登入時,是個比較危險的安全隱患。
因此,我們強烈建議把 mysql socket 檔案放置在每個實體自己的 datadir 下,並且參考第一條建議,設定正確的許可權樣式。同時甚至也可以把 mysql.sock 檔案許可權樣式修改為 0700。
[yejr@imysql.com]# chmod 0700 /data/mysql57/mysql.sock
[yejr@imysql.com]# ls -la /data/mysql57/mysql.sock
srwx------. 1 mysql mysql 0 Feb 12 16:00 /data/mysql57/mysql.sock
3. 使用login-path
一般來說,我們會為每個mysql賬戶設定密碼,這樣是安全了,但使用和維護起來就不方便了。
每次登入都要輸入密碼,尤其是呼叫mysql client工具時,如果直接將密碼寫在client工具的選項裡,則是非常危險的行為,從歷史命令就能看到密碼了,並且會有類似下麵的提示:
mysql: [Warning] Using a password on the command line interface can be insecure.
這時候,我們其實可以利用 login-path 功能來提高安全性及便利性。
login-path 特性是MySQL 5.6新增的。
首先,利用 mysql_config_editor 配置login-path:
#選項 ”-G lp-mysql57-3306”設定login-path的別名
mysql_config_editor set -G lp-mysql57-3306 -S /data/mysql57/mysql.sock -uroot -p
設定完後,就會在該使用者的 $HOME目錄下生成 .mylogin.cnf 檔案:
[yejr@imysql.com]# ls -la ~/.mylogin.cnf
-rw-------. 1 yejr users 152 Feb 11 22:42 /home/yejr/.mylogin.cnf
[yejr@imysql.com]# file ~/.mylogin.cnf
/home/yejr/.mylogin.cnf: data
這是個加密的二進位制檔案,即便用明文方式檢視,也是無法顯示密碼的:
[yejr@imysql.com]# mysql_config_editor print --all
mysql_config_editor print --all
[lp-mysql57-13306]
user = root
password = *****
socket = /data/mysql57/mysql.sock
接下來可以利用 login-path 很方便的登入 mysqld 而無需額外的密碼:
[yejr@imysql.com]# mysql --login-path=lp-mysql57-13306 -e "select 1+1 from dual"
+-----+
| 1+1 |
+-----+
| 2 |
+-----+
[yejr@imysql.com]# mysqladmin --login-path=lp-mysql57-13306 pr
+----+------+-----------+----+---------+------+----------+------------------+
| Id | User | Host | db | Command | Time | State | Info |
+----+------+-----------+----+---------+------+----------+------------------+
| 3 | root | localhost | | Query | 0 | starting | show processlist |
+----+------+-----------+----+---------+------+----------+------------------+
在做好前面兩條安全規則的前提下,即便萬一某個高許可權等級使用者的 .mylogin.cnf 檔案被其他普通使用者盜取,也無法利用 socket 方式登入 mysql。
當然了,除非你之前在 login-path 裡設定的是走 tcp/ip 方式,那就悲劇了~
下麵是假設 yejr 普通賬號想利用 root 賬號的 .mylogin.cnf 檔案登入,報告失敗,因為無法訪問 /data/mysql57/mysql.sock 檔案:
[yejr@imysql ~]$ /usr/local/mysql57/bin/mysql --login-path=lp-mysql57-13306
ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/data/mysql57/mysql.sock' (13)
●本文編號289,以後想閱讀這篇文章直接輸入289即可
●輸入m獲取到文章目錄
Web開發
更多推薦《18個技術類公眾微信》
涵蓋:程式人生、演演算法與資料結構、駭客技術與網路安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。