文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

怎么提高MySQL安全性

2024-04-02 19:55

关注

本篇文章为大家展示了怎么提高MySQL安全性,内容简明扼要并且容易理解,绝对能使你眼前一亮,通过这篇文章的详细介绍希望你能有所收获。

导读

如何提高MySQL的安全性?

数据库的安全性无疑很重要,这里教大家几招简单方法提高安全性。

1. 正确设置 datadir 权限模式

关于 datadir 正确的权限模式是 0750,甚至是 0700。

也就是最多只允许 mysqld 进程属主用户及其所在用户组可访问,但只有属主可修改文件。

***是直接设置成 0700,相对更安全些,避免数据文件意外泄漏。

[yejr@imysql.com]# chown -R mysql.mysql /data/mysql57  [yejr@imysql.com]# chmod 0700 /data/mysql57  [yejr@imysql.com]# ls -la /data/  drwxr-x---.  8 mysql mysql 4096 Feb 14 08:08 mysql57

2. 将 mysql socket 文件放在 datadir 下

很多人习惯将 mysql socket文件放在 /tmp 目录下。

尤其是跑多实例时,/tmp 目录下可能有 mysql3306.sock、mysql3307.sock、mysql3308.sock 等多个这样的文件。

要注意,mysql.sock 文件默认的权限模式是 0777,也就是任何人都有机会通过 /tmp 目录下的 socket 文件直接登入 mysql,尤其是root密码为空或弱密码,并且还允许本地 socket 方式登入时,是个比较危险的安全隐患。

因此,我们强烈建议把 mysql socket 文件放置在每个实例自己的 datadir 下,并且参考***条建议,设置正确的权限模式。同时甚至也可以把 mysql.sock 文件权限模式修改为 0700。

[yejr@imysql.com]# chmod 0700 /data/mysql57/mysql.sock  [yejr@imysql.com]# ls -la /data/mysql57/mysql.sock  srwx------. 1 mysql mysql 0 Feb 12 16:00 /data/mysql57/mysql.sock

3. 使用login-path

一般来说,我们会为每个mysql账户设置密码,这样是安全了,但使用和维护起来就不方便了。

每次登入都要输入密码,尤其是调用mysql client工具时,如果直接将密码写在client工具的选项里,则是非常危险的行为,从历史命令就能看到密码了,并且会有类似下面的提示:

mysql: [Warning] Using a password on the command line interface can be insecure.

这时候,我们其实可以利用 login-path 功能来提高安全性及便利性。

login-path 特性是MySQL 5.6新增的。

首先,利用 mysql_config_editor 配置login-path:

#选项 ”-G lp-mysql57-3306”设定login-path的别名 mysql_config_editor set -G lp -mysql57-3306 -S /data/mysql57/mysql.sock -uroot -p

设置完后,就会在该用户的 $HOME目录下生成 .mylogin.cnf 文件:

[yejr@imysql.com]# ls -la ~/.mylogin.cnf  -rw-------. 1 yejr users 152 Feb 11 22:42 /home/yejr/.mylogin.cnf  [yejr@imysql.com]# file ~/.mylogin.cnf  /home/yejr/.mylogin.cnf: data

这是个加密的二进制文件,即便用明文方式查看,也是无法显示密码的:

[yejr@imysql.com]# mysql_config_editor print --all  mysql_config_editor print --all  [lp-mysql57-13306]  user = root  password = *****  socket = /data/mysql57/mysql.sock

接下来可以利用 login-path 很方便的登入 mysqld 而无需额外的密码:

[yejr@imysql.com]# mysql --login-path=lp-mysql57-13306 -e "select 1+1 from dual"  +-----+  | 1+1 |  +-----+  |   2 |  +-----+    [yejr@imysql.com]# mysqladmin --login-path=lp-mysql57-13306 pr  +----+------+-----------+----+---------+------+----------+------------------+  | Id | User | Host      | db | Command | Time | State    | Info             |  +----+------+-----------+----+---------+------+----------+------------------+  | 3  | root | localhost |    | Query   | 0    | starting | show processlist |  +----+------+-----------+----+---------+------+----------+------------------+

在做好前面两条安全规则的前提下,即便万一某个高权限等级用户的 .mylogin.cnf 文件被其他普通用户盗取,也无法利用 socket 方式登入 mysql。

当然了,除非你之前在 login-path 里设置的是走 tcp/ip 方式,那就悲剧了~

下面是假设 yejr 普通账号想利用 root 账号的 .mylogin.cnf 文件登入,报告失败,因为无法访问 /data/mysql57/mysql.sock 文件:

[yejr@imysql ~]$ /usr/local/mysql57/bin/mysql --login-path=lp-mysql57-13306  ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/data/mysql57/mysql.sock'

上述内容就是怎么提高MySQL安全性,你们学到知识或技能了吗?如果还想学到更多技能或者丰富自己的知识储备,欢迎关注亿速云行业资讯频道。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     807人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     351人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     314人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     433人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     221人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-数据库
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯