Maison base de données tutoriel mysql 如何安全的配置和应用 MySQL 数据库_MySQL

如何安全的配置和应用 MySQL 数据库_MySQL

Jun 01, 2016 pm 02:03 PM
mysql 如何 安全 应用 数据库 文件 连接 配置

 

MySQL已经成为当前网络中使用最多的数据库之一,特别是在Web应用上,它占据了中小型应用的绝对优势。这一切都源于它的小巧易用、安全有效、开放式许可和多平台,更主要的是它与三大Web语言之一——PHP的完美结合。

但不幸的是,一个缺省安装的MySQL,会因为root密码为空及程序漏洞导致被溢出,使得安装MySQL的服务器成为被经常攻击的对象。更严重的是,被攻击之后数据库往往遭破坏,易造成灾难性的后果。下面将进入为了保护数据而进行的保卫战中。

 

环境要求

 

1.系统环境:

 

有一台Red Hat Linux 9.0自定义安装的服务器,系统安装了GCC及一些软件包,比如Apache、PHP等。安装完系统后的第一件事就是升级系统的软件包。作为Web服务器,系统接受PHP脚本的请求,PHP则使用下面将要安装的MySQL数据库作为动态发布的接触。

 

分区情况的要求和一般系统差不多,惟一不同之处在于后面建立的/chroot与/tmp要求在同一个分区上。

 

2.安全要求:

 

(1)MySQL运行在一个独立的(Chroot)环境下;

 

(2)mysqld进程运行于一个独立的用户/用户组下,此用户和用户组没有根目录,没有Shell,也不能用于其它程序;

 

(3)修改MySQL的root账号,并使用一个复杂的密码;

 

(4)只允许本地连接MySQL,启动MySQL时网络连接被禁止掉;

 

(5)保证连接MySQL的nobody账号登录被禁止;

 

(6)删除test数据库。

 

安装MySQL

 

1.安装准备:

 

安装MySQL之前,按照上述安全要求需要创建一个用于启动MySQL的用户和组。

 

<ccid_code></ccid_code>#groupadd mysql#useradd 
mysql -c "start mysqlds account" -d 
dev/null -g mysql -s /sbin/nologin
Copier après la connexion

2.编译和安装:

 

下载MySQL源代码包:

 

#wget http://mysql.he.net/Downloads/MySQL-4.0/mysql-4.0.16.tar.gz

 

解压缩:

 

#tar -zxvf mysql-4.0.16.tar.gz

 

一般把MySQL安装在/usr/local/mysql下,如果有特殊要求,也可自行调整。不过这样做意义不大,因为后面将Chrooting,到时只是使用这里的客户工具而已,比如mysql,mysqladmin,mysqldump等。下面就开始编译安装吧。

 

<ccid_code></ccid_code>#./configure --prefix=/usr/local/mysql 
\ --with-mysqld-user=mysql \ --with-unix-socket-path=/tmp/mysql.sock
 \ --with-mysqld-ldflags=-all-static#make && make 
install#strip /usr/local/mysql/libexec
/mysqld#scripts/mysql_install_db#chown 
-R root /usr/local/mysql#chown -R mysql 
/usr/local/mysql/var#chgrp -R mysql /usr/local/mysql
Copier après la connexion

上面各步骤的具体作用在MySQL手册里已有介绍,惟一需要解释、和一般步骤不同的地方在于--with-mysqld-ldflags=-all-static。因为需要用到Chroot环境,而MySQL本身连接成静态后就无需再创建一些库环境了。

 

3.配置与启动:

 

MySQL的配置文件需要手工选择、拷贝几个模板文件中的一个到/etc下,这几个模板文件位于源文件的support-files目录,一共有4个:small、medium、large、huge。

 

<ccid_code></ccid_code>#cp support-files/my-medium.cnf 
/etc/my.cnf#chown root:sys /etc/my.cnf#chmod 
644 /etc/my.cnf
Copier après la connexion

 

启动MySQL,注意使用用户为MySQL:

 

#/usr/local/mysq/bin/mysqld_safe --user=mysql &

 

 

4.测试:

 

为了测试安装的程序是否正确及MySQL是否已经正常启动,最好的办法就是用MySQL客户端来连接数据库。

 

<ccid_code></ccid_code>#/usr/local/mysql/bin/mysql[root@ftp bin]
# mysqlWelcome to the MySQL monitor. Commands 
end with ; or \g.Your MySQL connection id is 
687 to server version: 3.23.58Type help; 
or \h for help. Type \c to clear the 
buffer.mysql>mysql> show d
atabases;+--------------+  
Database  +--------------+  
mysql    test  +--------------+2 
rows in set (0.00 sec)mysql>quit
Copier après la connexion

 

连接成功,可以关闭数据库:

 

#/usr/local/mysql/bin/mysqladmin -uroot shutdown

 

 

如果连接失败则需要仔细分析出错原因:

 

#more /usr/local/mysql/var/`hostname`.err

 

Chrooting

 

1.Chrooting环境:

 

Chroot是Unix/类Unix的一种手段,它的建立会将其与主系统几乎完全隔离。也就是说,一旦遭到什么问题,也不会危及到正在运行的主系统。这是一个非常有效的办法,特别是在配置网络服务程序的时候。

 

2.Chroot的准备工作:

 

首先,应当建立目录结构:

 

<ccid_code></ccid_code>#mkdir -p /chroot/mysql/dev#mkdir -p 
/chroot/mysql/etc#mkdir -p /chroot/mysql/tmp#mkdir -p 
/chroot/mysql/var/tmp#mkdir -p /chroot
/mysql/usr/local/mysql/libexec#mkdir -p 
/chroot/mysql/usr/local/mysql/share
/mysql/english
Copier après la connexion

然后设定目录权限:

 

#chown -R root:sys /chroot/mysql#chmod -R 755 /chroot/mysql#chmod 1777 /chroot/mysql/tmp

 

3.拷贝mysql目录下的程序和文件到chroot下:

 

<ccid_code></ccid_code>#cp -p /usr/local/mysql/libexec
/mysqld /chroot/mysql/usr/
local/mysql/libexec/#cp -p /usr/local/mysql/share
/mysql/english/errmsg.sys/chroot/mysql/usr/local
/mysql/share/mysql/english/#cp -p /etc/hosts 
/chroot/mysql/etc/#cp -p /etc/host.conf /chroot
/mysql/etc/#cp -p /etc/resolv.conf /chroot
/mysql/etc/#cp -p 
/etc/group /chroot/mysql/etc
/#cp -p /etc/passwd 
/chroot/mysql/etc/passwd#cp -p 
/etc/my.cnf /chroot/mysql/etc/
Copier après la connexion

 

 

4.编辑chroot下的passwd文件和group文件:

 

#vi /chroot/etc/passwd

如上命令打开passwd文件,请删除除了mysql、root、sys的所有行。

#vi /chroot/etc/group

如上命令打开group文件,请删除除了mysql、root的所有行。

 

5.创建特殊的设备文件/dev/null :

 

<ccid_code></ccid_code>#ls -al /dev/nullcrw-rw-rw- 1 
root root 1, 3 Jan 30 2003 /dev/null#mknod 
/chroot/mysql/dev/null c 1 3#chown root:root 
/chroot/mysql/dev/null#chmod 666 /chroot
/mysql/dev/null
Copier après la connexion

 

6.拷贝mysql的数据库文件到chroot下:

 

<ccid_code></ccid_code>#cp -R /usr/local/mysql/var/ 
/chroot/mysql/usr/local/mysql
/var#chown -R mysql:mysql /chroot/mysql
/usr/local/mysql/var
Copier après la connexion

7.安装chrootuid程序: (下载chrootuid,然后RPM安装即可。)

 

8.测试Chroot环境下的MySQL配置:

 

#chrootuid /chroot/mysql mysql /usr/local/mysql/libexec/mysqld &

 

如果失败请注意chroot目录下面的权限问题。

 

9.测试连接chroot下的MySQL:

 

<ccid_code></ccid_code>#/usr/local
/mysql/bin/mysql --socket=
/chroot/mysql/tmp/mysql.sock.......
mysql>show databases;mysql>
create database wgh;mysql>
quit;#ls -al /chroot/mysql
/var/.......
Copier après la connexion

 

配置服务器

为了更加安全地使用MySQL,需要对MySQL的数据库进行安全配置。由于Chroot的原因,配置文件也会有所不同。

 

1.关闭远程连接:

 

首先,应该关闭3306端口,这是MySQL的默认监听端口。由于此处MySQL只服务于本地脚本,所以不需要远程连接。尽管MySQL内建的安全机制很严格,但监听一个TCP端口仍然是危险的行为,因为如果MySQL程序本身有问题,那么未授权的访问完全可以绕过MySQL的内建安全机制。关闭网络监听的方法很简单,在/chroot/mysql/etc/my.cnf文件中的[mysqld]部分,去掉#skip-networking前面的“#”即可。

 

关闭了网络,本地程序如何连接MySQL数据库呢?本地程序可以通过mysql.sock来连接,速度比网络连接更快。后文将提到关于mysql.sock的具体情况。MySQL的备份通常使用SSH来执行。

 

2.禁止MySQL导入本地文件:

 

下面将禁止MySQL中用“LOAD DATA LOCAL INFILE”命令。这个命令会利用MySQL把本地文件读到数据库中,然后用户就可以非法获取敏感信息了。

 

为了禁止上述命令,在/chroot/mysql/etc/my.cnf文件的[mysqld]部分加入下面语句:

 

set-variable=local-infile=0

 

为了管理方便,一般在系统中的MySQL管理命令如mysql、mysqladmin、mysqldump等,使用的都是系统的/etc/my.cnf文件。如果要连接,它会寻找/tmp/mysql.sock文件来试图连接MySQL服务器,但是这里要连接的是chroot下的MySQL服务器。解决办法有两个:一个是在管理命令后面加入--socket=/chroot/mysql/tmp/mysql.sock。例如:

 

#/usr/local/mysql/bin/mysql -root -p --socket=/chroot/mysql/tmp/mysql.sock

 

另一个就是在/etc/my.cnf的[client]部分加入socket=/chroot/mysql/tmp/mysql.sock。显然,第二种方法方便多了。

 

3.修改MySQL的root用户ID和密码:

 

<ccid_code></ccid_code>#chrootuid /chroot/mysql mysql 
/usr/local/mysql/libexec/mysqld /usr/local/mysql/
bin/mysql -uroot.......mysql>SET PASSWORD FOR root
@localhost=PASSWORD(new_password);
Copier après la connexion

 

要尽量养成在MySQL下输入密码的习惯,因为Shell下面输入的时候可能会被其它人看见。

 

<ccid_code></ccid_code>mysql>use mysql;mysql>update user set 
user="wghgreat" where user="root";mysql>select 
Host,User,Password,Select_priv,Grant_priv from 
user;mysql>delete from user where user=;mysql>
delete from user where password=;mysql>delete 
from user where host=%;mysql>drop database test;
Copier après la connexion

 

修改为一个不容易猜的ID:mysql>flush privileges;mysql>quit。

 

4.删除历史命令记录:

 

这些历史文件包括~/.bash_history、~/.mysql_history等。如果打开它们,你会大吃一惊,怎么居然有一些明文的密码在这里?!

 

#cat /dev/null > ~/.bash_history#cat /dev/null > ~/.mysql_history

 

PHP和MySQL通信

 

默认情况下,PHP会通过/tmp/mysql.sock来和MySQL通信,但这里的一个大问题是MySQL生成的根本不是它,而是/chroot/mysql/tmp/mysql.sock。解决的办法就是做一个连接:

 

#ln /chroot/mysql/tmp/mysql.sock /tmp/mysql.sock

 

注意:由于hard links不能在文件系统的分区之间做,所以该处的连接必须位于同一分区内部。

 

自启动配置

 

自启动配置前先提示一点,用于PHP的数据库需要用一个新建的账号,其上有数据库权限设置,比如FILE、GRANT、ACTER、SHOW DATABASE、RELOAD、SHUTDOWN、PROCESS、SUPER等。

 

自启动脚本示例:

<ccid_code></ccid_code>#!/bin/shCHROOT_MYSQL=/chroot/mysql SOCKET=
/tmp/mysql.sockMYSQLD=/usr/local/mysql
/libexec/mysqldPIDFILE=/usr/local/mysql
/var/`hostname`.pidCHROOTUID=/usr/bin
/chrootuidecho -n " mysql"case "$1" 
instart)rm -rf ${SOCKET}nohup ${CHROOTUID} 
${CHROOT_MYSQL} mysql ${MYSQLD} >/dev/null 
2>&1 &sleep 5 && ln ${CHROOT_MYSQL}/${SOCKET} 
${SOCKET};;stop)kill `cat ${CHROOT_MYSQL}
/${PIDFILE}`rm -rf ${CHROOT_MYSQL}/${SOCKET};;*)
echo ""echo "Usage: `basename $0` {start stop}"
 >&2exit 64;;esacexit 0
Copier après la connexion

 

文件位于/etc/rc.d/init.d下,名为mysqld,注意要可执行:

 

<ccid_code></ccid_code>#chmod +x /etc/rc.d/init.d
/mysqld#ln -s /etc/rc.d/init.d/mysql 
/etc/rc3.d/S90mysql#ln -s /etc/rc.d
/init.d/mysql /etc/rc0.d/K20mysql
Copier après la connexion

(T006)

相关文章:

http://bbs.database.ccidnet.com/htm_data/30/0704/357894.html">六大步保护MySQL数据库中重要数据

Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Outils d'IA chauds

Undresser.AI Undress

Undresser.AI Undress

Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover

AI Clothes Remover

Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool

Undress AI Tool

Images de déshabillage gratuites

Clothoff.io

Clothoff.io

Dissolvant de vêtements AI

AI Hentai Generator

AI Hentai Generator

Générez AI Hentai gratuitement.

Article chaud

R.E.P.O. Crystals d'énergie expliqués et ce qu'ils font (cristal jaune)
1 Il y a quelques mois By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Meilleurs paramètres graphiques
1 Il y a quelques mois By 尊渡假赌尊渡假赌尊渡假赌
Will R.E.P.O. Vous avez un jeu croisé?
1 Il y a quelques mois By 尊渡假赌尊渡假赌尊渡假赌

Outils chauds

Bloc-notes++7.3.1

Bloc-notes++7.3.1

Éditeur de code facile à utiliser et gratuit

SublimeText3 version chinoise

SublimeText3 version chinoise

Version chinoise, très simple à utiliser

Envoyer Studio 13.0.1

Envoyer Studio 13.0.1

Puissant environnement de développement intégré PHP

Dreamweaver CS6

Dreamweaver CS6

Outils de développement Web visuel

SublimeText3 version Mac

SublimeText3 version Mac

Logiciel d'édition de code au niveau de Dieu (SublimeText3)

MySQL: Concepts simples pour l'apprentissage facile MySQL: Concepts simples pour l'apprentissage facile Apr 10, 2025 am 09:29 AM

MySQL est un système de gestion de base de données relationnel open source. 1) Créez une base de données et des tables: utilisez les commandes CreateDatabase et CreateTable. 2) Opérations de base: insérer, mettre à jour, supprimer et sélectionner. 3) Opérations avancées: jointure, sous-requête et traitement des transactions. 4) Compétences de débogage: vérifiez la syntaxe, le type de données et les autorisations. 5) Suggestions d'optimisation: utilisez des index, évitez de sélectionner * et utilisez les transactions.

Comment ouvrir phpmyadmin Comment ouvrir phpmyadmin Apr 10, 2025 pm 10:51 PM

Vous pouvez ouvrir PHPMYADMIN via les étapes suivantes: 1. Connectez-vous au panneau de configuration du site Web; 2. Trouvez et cliquez sur l'icône PHPMYADMIN; 3. Entrez les informations d'identification MySQL; 4. Cliquez sur "Connexion".

MySQL: une introduction à la base de données la plus populaire au monde MySQL: une introduction à la base de données la plus populaire au monde Apr 12, 2025 am 12:18 AM

MySQL est un système de gestion de la base de données relationnel open source, principalement utilisé pour stocker et récupérer les données rapidement et de manière fiable. Son principe de travail comprend les demandes des clients, la résolution de requête, l'exécution des requêtes et les résultats de retour. Des exemples d'utilisation comprennent la création de tables, l'insertion et la question des données et les fonctionnalités avancées telles que les opérations de jointure. Les erreurs communes impliquent la syntaxe SQL, les types de données et les autorisations, et les suggestions d'optimisation incluent l'utilisation d'index, les requêtes optimisées et la partition de tables.

Pourquoi utiliser MySQL? Avantages et avantages Pourquoi utiliser MySQL? Avantages et avantages Apr 12, 2025 am 12:17 AM

MySQL est choisi pour ses performances, sa fiabilité, sa facilité d'utilisation et son soutien communautaire. 1.MySQL fournit des fonctions de stockage et de récupération de données efficaces, prenant en charge plusieurs types de données et opérations de requête avancées. 2. Adoptez l'architecture client-serveur et plusieurs moteurs de stockage pour prendre en charge l'optimisation des transactions et des requêtes. 3. Facile à utiliser, prend en charge une variété de systèmes d'exploitation et de langages de programmation. 4. Avoir un solide soutien communautaire et fournir des ressources et des solutions riches.

Comment utiliser un seul fileté redis Comment utiliser un seul fileté redis Apr 10, 2025 pm 07:12 PM

Redis utilise une architecture filetée unique pour fournir des performances élevées, une simplicité et une cohérence. Il utilise le multiplexage d'E / S, les boucles d'événements, les E / S non bloquantes et la mémoire partagée pour améliorer la concurrence, mais avec des limites de limitations de concurrence, un point d'échec unique et inadapté aux charges de travail à forte intensité d'écriture.

MySQL et SQL: Compétences essentielles pour les développeurs MySQL et SQL: Compétences essentielles pour les développeurs Apr 10, 2025 am 09:30 AM

MySQL et SQL sont des compétences essentielles pour les développeurs. 1.MySQL est un système de gestion de base de données relationnel open source, et SQL est le langage standard utilisé pour gérer et exploiter des bases de données. 2.MySQL prend en charge plusieurs moteurs de stockage via des fonctions de stockage et de récupération de données efficaces, et SQL termine des opérations de données complexes via des instructions simples. 3. Les exemples d'utilisation comprennent les requêtes de base et les requêtes avancées, telles que le filtrage et le tri par condition. 4. Les erreurs courantes incluent les erreurs de syntaxe et les problèmes de performances, qui peuvent être optimisées en vérifiant les instructions SQL et en utilisant des commandes Explication. 5. Les techniques d'optimisation des performances incluent l'utilisation d'index, d'éviter la numérisation complète de la table, d'optimiser les opérations de jointure et d'améliorer la lisibilité du code.

Place de MySQL: bases de données et programmation Place de MySQL: bases de données et programmation Apr 13, 2025 am 12:18 AM

La position de MySQL dans les bases de données et la programmation est très importante. Il s'agit d'un système de gestion de base de données relationnel open source qui est largement utilisé dans divers scénarios d'application. 1) MySQL fournit des fonctions efficaces de stockage de données, d'organisation et de récupération, en prenant en charge les systèmes Web, mobiles et de niveau d'entreprise. 2) Il utilise une architecture client-serveur, prend en charge plusieurs moteurs de stockage et optimisation d'index. 3) Les usages de base incluent la création de tables et l'insertion de données, et les usages avancés impliquent des jointures multiples et des requêtes complexes. 4) Des questions fréquemment posées telles que les erreurs de syntaxe SQL et les problèmes de performances peuvent être déboguées via la commande Explication et le journal de requête lente. 5) Les méthodes d'optimisation des performances comprennent l'utilisation rationnelle des indices, la requête optimisée et l'utilisation des caches. Les meilleures pratiques incluent l'utilisation des transactions et des acteurs préparés

Comment construire une base de données SQL Comment construire une base de données SQL Apr 09, 2025 pm 04:24 PM

La construction d'une base de données SQL comprend 10 étapes: sélectionner des SGBD; Installation de SGBD; créer une base de données; créer une table; insérer des données; récupération de données; Mise à jour des données; supprimer des données; gérer les utilisateurs; sauvegarde de la base de données.

See all articles