MySQL安全注意事項介紹
1、網(wǎng)絡(luò)、系統(tǒng)層面
在這個層面可以做很多的事情,我們可以把這些安全要求作為新系統(tǒng)安裝時的標準要求,放到自動化裝機方案中。
把運行MySQL的服務(wù)器放在內(nèi)網(wǎng)中,不要啟用公網(wǎng);
迫不得已啟用公網(wǎng)的話,修改sshd端口到10000以上;
設(shè)置防火墻策略,只允許信任的服務(wù)器連接sshd和MySQL端口;
修改idrac/imm密碼,設(shè)置GRUB密碼;
設(shè)置密碼安全策略,比如要求 PASS_MIN_LEN 不低于8位,其實最好是直接用一個復(fù)雜密碼做MD5之后再作為正式密碼,32位長度的安全程度夠高吧;
將操作日志記入syslog并且發(fā)送到遠程log server上,堅決不能只存儲在本地;
除了必須的賬號,其他的都設(shè)為無登入權(quán)限;
盡量把運行MySQL的服務(wù)器獨立出來,不要和web server、app server放一起。必須放一起的話,也要設(shè)置好權(quán)限分離,不允許web server、app server進程的屬主有直接訪問MySQL datadir的權(quán)限;
禁用web server層的autoindex配置;
可能的話,采用https代替http;
關(guān)鍵應(yīng)用保持更新,避免老版本的漏洞風(fēng)險;
設(shè)置nginx、php等應(yīng)用服務(wù)的安全策略,禁用危險函數(shù)等;
可以考慮購買運營商提供的一些安全防護、掃描器等產(chǎn)品;
堅決杜絕二逼行為,把關(guān)鍵配置文件上傳到公共網(wǎng)絡(luò)上(如把公司項目代碼放在github上作為個人項目,內(nèi)含內(nèi)網(wǎng)賬號密碼信息)。
2、邏輯應(yīng)用層
在這個層面,等多的是依賴運營及開發(fā)人員的`安全意識,很多本可以避免的低級安全漏洞完全可以在這個層面處理掉,比如下面提到的XSS、CSRF、SQL注入等漏洞。
盡量不要在公網(wǎng)上使用開源的cms、blog、論壇等系統(tǒng),除非做過代碼安全審計,或者事先做好安全策略。這類系統(tǒng)一般都是黑客重點研究對象,很容易被搞;
在web server層,可以用一些安全模塊,比如nginx的WAF模塊;
在app server層,可以做好代碼安全審計、安全掃描,防止XSS攻擊、CSRF攻擊、SQL注入、文件上傳攻擊、繞過cookie檢測等安全漏洞;
應(yīng)用程序中涉及賬號密碼的地方例如JDBC連接串配置,盡量把明文密碼采用加密方式存儲,再利用內(nèi)部私有的解密工具進行反解密后再使用。或者可以讓應(yīng)用程序先用中間賬號連接proxy層,再由proxy連接MySQL,避免應(yīng)用層直連MySQL;
應(yīng)用層啟用關(guān)鍵日志記錄,例如交易日志,方便后續(xù)對賬什么的。
3、MySQL數(shù)據(jù)庫層
前面幾層如果都做的不夠安全的話,在這層也幾乎是岌岌可危了。但我們依然可以做些事情的。
啟用 safe-選項,避免沒有 WHERE 條件的全表數(shù)據(jù)被修改;
將 binlog 的保存周期加長,便于后續(xù)的審計、審查;
應(yīng)用賬號只賦予SELECT、UPDATE、INSERT權(quán)限,取消DELETE權(quán)限。把需要DELETE權(quán)限的邏輯改成用UPDATE實現(xiàn),避免被物理刪除;
需要真正刪除時,交由DBA先備份后再物理刪除;
可以采用Percona的SQL審計插件,據(jù)說還有macfee的插件;
還可以采用觸發(fā)器來做一些輔助功能,比如防止黑客惡意篡改數(shù)據(jù)。
4、后記
數(shù)據(jù)安全可以做的事情很多,本文也只是羅列了一些比較簡單可快速實施的方案。每個企業(yè)應(yīng)有自己的安全策略規(guī)范,每一位參與者都應(yīng)該心懷敬畏,努力遵守這些必要的規(guī)范,不使信息安全成為空談。
真正的數(shù)據(jù)安全,是靠所有人的意識安全作為支撐的,沒有這個意識靠機制、制度、工具都是不靠譜。于
【MySQL安全注意事項介紹】相關(guān)文章:
英國留學(xué)的安全注意事項介紹08-26
學(xué)生暑假安全注意事項介紹06-14
夏季安全用電注意事項介紹03-01
幼兒出游安全注意事項介紹03-26
德國留學(xué)安全注意事項的詳細介紹09-08
幼兒園安全注意事項介紹08-22
小學(xué)生安全注意事項介紹02-26
運動會的安全注意事項介紹03-20