简单几招提高MySQL安全性
导读
如何提高MySQL的安全性
数据库的安全性无疑很重要,这里教大家几招简单方法提高安全性。
1. 正确设置 datadir 权限模式
关于 datadir 正确的权限模式是 0750,甚至是 0700。
也就是最多只允许 mysqld 进程属主用户及其所在用户组可访问,但只有属主可修改文件。
最好是直接设置成 0700,相对更安全些,避免数据文件意外泄漏。
[[email protected]]# chown -R mysql.mysql /data/mysql57
[[email protected]]# chmod 0700 /data/mysql57
[[email protected]]# ls -la /data/
drwxr-x---. 8 mysql mysql 4096 Feb 14 08:08 mysql572. 将 mysql socket 文件放在 datadir 下
很多人习惯将 mysql socket文件放在 /tmp 目录下。
尤其是跑多实例时,/tmp 目录下可能有 mysql3306.sock、mysql3307.sock、mysql3308.sock 等多个这样的文件。
要注意,mysql.sock 文件默认的权限模式是 0777,也就是任何人都有机会通过 /tmp 目录下的 socket 文件直接登入 mysql,尤其是root密码为空或弱密码,并且还允许本地 socket 方式登入时,是个比较危险的安全隐患。
因此,我们强烈建议把 mysql socket 文件放置在每个实例自己的 datadir 下,并且参考第一条建议,设置正确的权限模式。同时甚至也可以把 mysql.sock 文件权限模式修改为 0700。
[[email protected]]# chmod 0700 /data/mysql57/mysql.sock
[[email protected]]# ls -la /data/mysql57/mysql.sock
srwx------. 1 mysql mysql 0 Feb 12 16:00 /data/mysql57/mysql.sock3. 使用login-path
一般来说,我们会为每个mysql账户设置密码,这样是安全了,但使用和维护起来就不方便了。
每次登入都要输入密码,尤其是调用mysql client工具时,如果直接将密码写在client工具的选项里,则是非常危险的行为,从历史命令就能看到密码了,并且会有类似下面的提示:
mysql: [Warning] Using a password on the command line interface can be insecure.
这时候,我们其实可以利用 login-path 功能来提高安全性及便利性。
login-path 特性是MySQL 5.6新增的。
首先,利用 mysql_config_editor 配置login-path:
#选项 ”-G lp-mysql57-3306”设定login-path的别名
mysql_config_editor set -G lp-mysql57-3306 -S /data/mysql57/mysql.sock -uroot -p设置完后,就会在该用户的 $HOME目录下生成 .mylogin.cnf 文件:
[[email protected]]# ls -la ~/.mylogin.cnf
-rw-------. 1 yejr users 152 Feb 11 22:42 /home/yejr/.mylogin.cnf
[[email protected]]# file ~/.mylogin.cnf
/home/yejr/.mylogin.cnf: data这是个加密的二进制文件,即便用明文方式查看,也是无法显示密码的:
[[email protected]]# mysql_config_editor print --all
mysql_config_editor print --all
[lp-mysql57-13306]
user = root
password = *****
socket = /data/mysql57/mysql.sock接下来可以利用 login-path 很方便的登入 mysqld 而无需额外的密码:
[[email protected]]# mysql --login-path=lp-mysql57-13306 -e "select 1+1 from dual"
+-----+
| 1+1 |
+-----+
| 2 |
+-----+
[[email protected]]# mysqladmin --login-path=lp-mysql57-13306 pr
+----+------+-----------+----+---------+------+----------+------------------+
| Id | User | Host | db | Command | Time | State | Info |
+----+------+-----------+----+---------+------+----------+------------------+
| 3 | root | localhost | | Query | 0 | starting | show processlist |
+----+------+-----------+----+---------+------+----------+------------------+在做好前面两条安全规则的前提下,即便万一某个高权限等级用户的 .mylogin.cnf 文件被其他普通用户盗取,也无法利用 socket 方式登入 mysql。
当然了,除非你之前在 login-path 里设置的是走 tcp/ip 方式,那就悲剧了~
下面是假设 yejr 普通账号想利用 root 账号的 .mylogin.cnf 文件登入,报告失败,因为无法访问 /data/mysql57/mysql.sock 文件:
[yejr@imysql ~]$ /usr/local/mysql57/bin/mysql --login-path=lp-mysql57-13306
ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/data/mysql57/mysql.sock' (13)延伸阅读
MySQL手册:4.6.6 mysql_config_editor — MySQL Configuration Utility,https://dev.mysql.com/doc/refman/5.7/en/mysql-config-editor.html
我猜你一定达不到要求的《MySQL安全策略》
MySQL数据安全策略
FAQ系列 | 防范SQL注入风险
知识无界限,不再加原创
喜欢就转走,铁粉加密圈
好铁观音尽在
「老叶茶馆」
http://yejinrong.com
