MySQL 是世界上最流行的开源数据库系统,而MariaDB(MySQL的一个分支)是世界上发展最快的开源数据库系统。安装MySQL服务器之后,它的默认配置是不安全的,保护它是一般数据库管理中的基本任务之一。 这将有助于加强和提升整体Linux服务器安全性,因为攻击者总是扫描系统任何部分的漏洞,而数据库过去一直是关键的目标。一个常见的例子是暴力破解MySQL数据库的root密码。 在本指南中,将讲解在 Linux 很有用的 MySQL / MariaDB 安全性最佳实践。

MySQL 安全性安装

这是安装 MySQL 服务器后第一个建议的步骤,用于保护数据库服务器。此脚本通过要求你提供以下内容,有助于提高MySQL服务器的安全性:

  • 如果在安装期间未设置 root 帐户,请为 root 帐户设置密码
  • 删除能从本机之外远程登录的 root 账号,来禁止远程 root 用户登录
  • 删除匿名用户和测试数据库,测试数据库默认情况下所有用户都能访问的,甚至是匿名用户
mysql_secure_installation

运行后,设置root密码并输入[Yes/ Y]回答一系列问题,然后按 [Enter]

将数据库绑定到回环地址

这配置将限制远程机器访问,它会告诉 MySQL 服务器只接受 本地(localhost) 的连接。你可以在主配置文件中这样设置

# vi /etc/my.cnf                                          [RHEL/CentOS]
# vi /etc/mysql/my.conf [Debian/Ubuntu]
OR
# vi /etc/mysql/mysql.conf.d/mysqld.cnf [Debian/Ubuntu]

在 [mysqld] 部分下面添加以下行

bind-address = 127.0.0.1

在MySQL中禁用 LOCAL INFILE

作为安全性强化的一部分, 你需要在主配置文件的 [mysqld] 下用添加这条语句禁用 local_infile 以防止从 MySQL 内部访问底层文件系统。

local-infile=0

更改MYSQL默认端口

port 变量是用于监听 TCP/IP 连接的 MySQL 端口号。 MySQL 默认的端口号是 3306 , 但可以在配置文件的 [mysqld] 下面,修改

port=3307

译者语,如果是系统用 Selinux 的,换端口可能会导致不能启动。你可以选择关闭 SeLinux,或者做以下的命令

yum install -y policycoreutils-python
semanage port -a -t mysqld_port_t -p tcp 3307

更多 MySQL 与 SeLinux 可以看这里

启用 MySQL 日志记录

日志是了解服务器上发生的事情的最佳方式之一,如果发生任何攻击,你可以轻松地从日志文件中查看任何与入侵相关的活动。您可以通过在 [mysqld] 部分下添加以下变量来启用MySQL日志记录

general_log = ON
general_log_file = /var/log/mysql/mysql.log

给配置文件设置适当的权限

确保为所有 MySQL 服务器文件和数据目录设置适当的权限。比如:让/etc/my.conf文件只能被 root 用户写入。这能阻止其他用户更改数据库服务器配置。

chmod 644 /etc/my.cnf

删除 MySQL Shell 的历史记录

你在 MySQL Shell 上执行的所有命令都由 MySQL 客户端存储在历史文件中:〜/ .mysql_history。这可能是很危险,你创建的用户或者修改用户密码时,会在 shell 中输入的所有用户名和密码,而这些都会被记录到文件中。

cat /dev/null > ~/.mysql_history

不要在命令行直接运行 MySQL 命令

如你所知,你在终端上输入的所有命令都存储在历史文件中,这具体取决于你使用的shell(例如〜/ .bash_history for bash)。获取了历史记录文件的权限的攻击者可以轻松查看其中记录的任何密码。 强烈建议不要在命令行上键入密码,如下所示:

mysql -u root -p123456

当你查看命令行的历史记录的最后一行的时,你就会看到密码显示在上面

# history

连接 MySQL 适当的方法是:

# mysql -u root -p
Enter password:

创建应用程序专用数据库用户

对于每个跑在服务器上的每个应用程序,只给一个用户访问指定应用程序的数据库。例如,如果你有一个 wordpress 的网站,就那 wordpress 的网站的数据库创建一个特定的用户。 如下所示:

mysql -u root -p
CREATE DATABASE osclass_db;
CREATE USER 'osclassdmin'@'localhost' IDENTIFIED BY 'osclass@dmin%!2';
GRANT ALL PRIVILEGES ON osclass_db.* TO 'osclassdmin'@'localhost';
FLUSH PRIVILEGES;
exit

并记住要删除那些不再管理服务器上任何应用程序数据库的用户帐户。

使用其他安全插件和库

MySQL 包含许多安全插件,用于:验证尝试连接mysql服务器的客户端,密码验证和保护敏感信息的存储,而这些都是免费的。 你可以在这里找到更多

定期修改密码

这是一条对信息/应用程序/系统的安全性的常见建议。你这样的频率取决于你内部的安全策略。这可以防止“窥探者”长时间跟踪你的活动,让他们无法访问你的 MySQL服务器。

USE mysql;
UPDATE user SET password=PASSWORD('YourPasswordHere') WHERE User='root' AND Host = 'localhost';
FLUSH PRIVILEGES;

定期更新 MySQL 服务器的包

强烈建议定期升级 MySQL/MariaDB 软件包,来跟上供应商仓库中的安全性更新和漏洞修复。通常操作系统默认的包是过时的。

yum update
apt-get update

对 MySQL/MariaDB 服务器进行任何更改后,要重启服务

systemctl restart mariadb
or
systemctl restart mysql

以上,就是这篇文章的全部内容。 原文在这里

[译]在Linux上的提高MySQL/MariaDB安全性的12条建议的更多相关文章

  1. 有效提高java编程安全性的12条黄金法则

    安全性是软件开发中最复杂,最广泛和最重要的考量之一.Java是具有许多内置安全性功能的开发平台,java在长期的发展过程中,已经经过了很多高强度的安全测试,并经常更新安全漏洞.并且Java生态系统还包 ...

  2. Linux上SQL及MYSQL简单操作

    Linux上检查MYSQL是否安装: $ sudo service mysql start Ubuntu Linux安装配置MYSQL: $ sudo apt-get install mysql-se ...

  3. Linux上安装二进制文件MySQL详解

    前言:昨天晚上搞了很久,终于搞清楚mysql的安装配置了,我真是太low了.当我在云服务器上登进Mysql时,真是高兴哈哈,咱一步一步来,彻底搞懂Mysql的安装配置. 我的安装环境: 阿里云服务器 ...

  4. linux上下载安装mysql,并使用

    一:官网找mysql的安装包 可参考https://blog.csdn.net/a18852867035/article/details/81610611, 我是在https://dev.mysql. ...

  5. Linux上安装设置mysql 5.7.24

    一,准备 1,先查看Linux是32位还是64位 getconf LONG_BIT 如果返回的是32,那么就是32位 如果返回的是64,那么就是64位 2,如果服务器不能联网,就先去官网下载好压缩包, ...

  6. Ubuntu Linux上安装配置Mysql

    一.安装: 三种安装方式: 1. 从网上安装 sudo apt-get install mysql-server.装完已经自动配置好环境变量,可以直接使用mysql的命令. 注:建议将/etc/apt ...

  7. 在Linux上安装及配置MariaDB

    安装MariaDB 1.切换到root用户,首先执行rpm -qa | grep -i mysql检查一下是否有已安装的与MySQL相关的东西,如果有,使用rpm -e --nodeps mysql* ...

  8. linux上如何安装mysql

    下载rpm包: wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm 安装rpm:rpm -ivh mysql-com ...

  9. 在Linux上安装jdk,mysql,tomcat的准备工作

    准备工作: 因为JDK,TOMCAT,MYSQL的安装过程中需要从网上下载部分支持包才可以继续,所以要提前安装下载好下面四个依赖 yum install glibc.i686 yum -y insta ...

随机推荐

  1. Xamarin.Android 隐藏软键盘

    引用: using Android.Views.InputMethods; 代码: //隐藏键盘 InputMethodManager imm = (InputMethodManager)GetSys ...

  2. vue android低版本 白屏问题 你是不是用了Object.assign ??

    问题描述 在部分比较低版本的手机中,发现apk安装后白屏,但是大部分手机都能安装. 本人在使用android4.4时候,也是安装后打开白屏. 原因: 代码写法不兼容 this.user = Objec ...

  3. GenericFactoryMethod泛型工厂模式实现简单IOC功能

    1.简介 泛型工厂理论上不算Gof23中设计模式之一,但是也算是一种非常好的设计模式,个人认为,废话不多说,先写个简单的抽象工厂,在写一个泛型工厂的例子来比较抽象和泛型的区别. 2.实战 还是房屋和道 ...

  4. Virtual Hosts

    虚拟主机就是一组资源,就是资源的一个逻辑分组 虚拟主机提供对资源的逻辑分组和隔离 虚拟主机有一个名字.当客户端连接到RabbitMQ的时候,客户端指定一个虚拟主机的名字来连接到它.如果认证成功,并且用 ...

  5. pyinstaller安装配置

    一.工具准备: 1).安装pyinstaller需要以这个包为基础.也就是基础软件包.pyWin32包.下载对应的pyWin32安装包>>地址: https://sourceforge.n ...

  6. jQueryh插件imgareaselect

    1.插件介绍 imgareaselect 是一个 允许用户使用简单.直观的点击.拖动界面图像选择矩形区域的jQuery插件.该插件可用于 web 应用程序中轻松实现图像裁剪功能,以及其他功能,如照片标 ...

  7. DNS服务器的搭建

    更详细的dns笔记整理: http://services.linuxpanda.tech/DNS/index.html 1 DNS介绍 DNS(Domain Name System,域名系统),因特网 ...

  8. Spring基础系列-Spring事务不生效的问题与循环依赖问题

    原创作品,可以转载,但是请标注出处地址:https://www.cnblogs.com/V1haoge/p/9476550.html 一.提出问题 不知道你是否遇到过这样的情况,在ssm框架中开发we ...

  9. LeetCode算法扫题系列19

    原创作品,可以转载,但是请标注出处地址:https://www.cnblogs.com/V1haoge/p/9104677.html LeetCode算法第19题(难度:中等) 题目:给定一个链表,删 ...

  10. Java设计模式学习记录-模板方法模式

    前言 模板方法模式,定义一个操作中算法的骨架,而将一些步骤延迟到子类中.使得子类可以不改变一个算法的结构即可重新定义该算法的某些特定步骤. 模板方法模式 概念介绍 模板方法模式,其实是很好理解的,具体 ...