以技能為基礎(chǔ)的企業(yè)里最有價(jià)值的財(cái)物莫過所以客戶或者其數(shù)據(jù)庫(kù)中的產(chǎn)品信息了。因此,在這樣的企業(yè)中,確保數(shù)據(jù)庫(kù)免受外界進(jìn)犯是數(shù)據(jù)庫(kù)管理的重要環(huán)節(jié)。很多數(shù)據(jù)庫(kù)管理員并沒有施行什么數(shù)據(jù)庫(kù)保護(hù)措施,只是由于覺得做起來(lái)太“棘手”太“復(fù)雜”。但假如你使用MySQL,你只需要用這些簡(jiǎn)單的辦法就能夠大大削減你所面對(duì)的風(fēng)險(xiǎn);
第一步:使用安全密碼
只有在使用密碼的情況下,用戶帳戶才能得到安全保障。因此,當(dāng)你安裝MySQL時(shí)要做的第一件事就是給MySQL的根帳戶設(shè)置一個(gè)密碼(默認(rèn)情況下密碼為空)。當(dāng)你堵住這個(gè)大漏洞之后,下一步就是要求每一個(gè)用戶帳戶都設(shè)置好自己的密碼,并確保沒有使用具有啟發(fā)式信息的容易被識(shí)破的密碼。
第二步:檢查配置文件的許可
很多時(shí)候,為了使扶綏服務(wù)器連接更加快捷方便,無(wú)論是個(gè)人用戶還是扶綏服務(wù)器管理員都把他們的用戶帳號(hào)密碼存儲(chǔ)在MySQL的per-user選項(xiàng)文件中。但是,這個(gè)密碼是以純文本形式存儲(chǔ)在這個(gè)文件中的,很容易就會(huì)被讀取。因此,確保系統(tǒng)的其他用戶無(wú)法查看類似于per-user這種配置文件,并把這些文件存儲(chǔ)在非公共區(qū)域就顯得至關(guān)重要。
第三步:對(duì)客戶端扶綏服務(wù)器傳輸進(jìn)行加密
在MySQL的客戶端服務(wù)器架構(gòu)中,關(guān)于在網(wǎng)絡(luò)中傳輸數(shù)據(jù)時(shí)保證數(shù)據(jù)安全的問題非常重要。如果客戶端服務(wù)器事務(wù)是以明文的方式進(jìn)行的,那么黑客很容易就能發(fā)現(xiàn)這些傳輸中的數(shù)據(jù)包,并從中獲取敏感信息。想要堵住這個(gè)漏洞,你可以激活MySQL設(shè)置中的SSL,或者使用OpenSSH這類的安全外殼實(shí)用程序,以便為通過的數(shù)據(jù)創(chuàng)造一個(gè)安全的加密通道。通過這種方式對(duì)客戶端服務(wù)器連接進(jìn)行加密,未經(jīng)授權(quán)的用戶就很難讀取這些不斷在通道中往來(lái)傳輸?shù)臄?shù)據(jù)了。
第四步:禁用遠(yuǎn)程訪問功能
如果你的用戶不需要對(duì)服務(wù)器進(jìn)行遠(yuǎn)程訪問,那你就可以通過強(qiáng)制所有的MySQL連接都通過UNIX的socket文件進(jìn)行,這樣做可以大大降低受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。設(shè)置服務(wù)器使用了--skip-networking選項(xiàng)啟動(dòng),這樣做能夠屏蔽MySQL的TCP/IP網(wǎng)絡(luò)連接,并確保沒有用戶能夠遠(yuǎn)程連接到系統(tǒng)。
第五步:積極監(jiān)控MySQL的訪問日志
MySQL里具有很多不同的日志文件,用來(lái)記錄客戶端連接、查詢和服務(wù)器錯(cuò)誤。其中最重要的就是通用查詢?nèi)罩?general query log),其中以時(shí)間記錄了每一個(gè)客戶端連接和斷開連接,并記錄了客戶端執(zhí)行每一次查詢的情況。如果你懷疑MySQL出現(xiàn)了不尋常的活動(dòng),例如和網(wǎng)絡(luò)侵入有關(guān)的活動(dòng),那么最好對(duì)這個(gè)日志進(jìn)行監(jiān)控,往往就可以查出此類活動(dòng)的源頭。
許多安全專家都以為,對(duì)于大多數(shù)機(jī)構(gòu)而言,遭遇安全事故其實(shí)能夠算是種必定狀況,專一的區(qū)別在于詳細(xì)的發(fā)生時(shí)間。有鑒于此,仍是主張用戶們打造一套有序的事故警示機(jī)制,以其盡可能減少漏洞安全問題所帶來(lái)的影響及丟失。
以上文章來(lái)源于網(wǎng)絡(luò),如有侵權(quán)請(qǐng)聯(lián)系創(chuàng)一網(wǎng)的客服處理。謝謝!