《Mysql實例MySQL安全策略(MySQL安全注意事項)》要點:
本文介紹了Mysql實例MySQL安全策略(MySQL安全注意事項),希望對您有用。如果有疑問,可以聯系我們。
導讀MYSQL應用
MySQL被運用于越來越多的業務中,在關鍵業務中對數據平安性的要求也更高,如何保證MySQL的數據平安?MYSQL應用
數據平安如果只靠MySQL應用層面顯然是不夠的,是需要在多個層面來保護的,包括網絡、系統、邏輯應用層、數據庫層等.
下面是我們可借鑒的一些平安策略.MYSQL應用
1、網絡、系統層面MYSQL應用
?? 在這個層面可以做很多的事情,我們可以把這些平安要求作為新系統安裝時的標準要求,放到自動化裝機方案中.MYSQL應用
把運行MySQL的服務器放在內網中,不要啟用公網;
迫不得已啟用公網的話,修改sshd端口到10000以上;
設置防火墻策略,只允許信任的服務器連接sshd和MySQL端口;MYSQL應用
修改idrac/imm密碼,設置GRUB密碼;MYSQL應用
設置密碼平安策略,比如要求 PASS_MIN_LEN 不低于8位,其實最好是直接用一個復雜密碼做MD5之后再作為正式密碼,32位長度的平安程度夠高吧;MYSQL應用
將操作日志記入syslog并且發送到遠程log server上,堅決不能只存儲在本地;MYSQL應用
除了必須的賬號,其他的都設為無登入權限;MYSQL應用
盡量把運行MySQL的服務器獨立出來,不要和web server、app server放一起.必須放一起的話,也要設置好權限分離,不允許web server、app server進程的屬主有直接訪問MySQL datadir的權限;MYSQL應用
禁用web server層的autoindex配置;MYSQL應用
可能的話,采用https代替http;MYSQL應用
關鍵應用保持更新,避免老版本的漏洞風險;MYSQL應用
設置nginx、php等應用服務的平安策略,禁用危險函數等;MYSQL應用
可以考慮購買運營商提供的一些平安防護、掃描器等產品;MYSQL應用
堅決杜絕二逼行為,把關鍵配置文件上傳到公共網絡上(如把公司項目代碼放在github上作為個人項目,內含內網賬號密碼信息).MYSQL應用
2、邏輯應用層MYSQL應用
?? 在這個層面,等多的是依賴運營及開發人員的平安意識,很多本可以避免的低級平安漏洞完全可以在這個層面處理掉,比如下面提到的XSS、CSRF、SQL注入等漏洞.
盡量不要在公網上使用開源的cms、blog、論壇等系統,除非做過代碼平安審計,或者事先做好平安策略.這類系統一般都是黑客重點研究對象,很容易被搞;MYSQL應用
在web server層,可以用一些平安模塊,比如nginx的WAF模塊;MYSQL應用
在app server層,可以做好代碼平安審計、平安掃描,防止XSS攻擊、CSRF攻擊、SQL注入、文件上傳攻擊、繞過cookie檢測等平安漏洞;MYSQL應用
應用程序中涉及賬號密碼的地方例如JDBC連接串配置,盡量把明文密碼采用加密方式存儲,再利用內部私有的解密工具進行反解密后再使用.或者可以讓應用程序先用中間賬號連接proxy層,再由proxy連接MySQL,避免應用層直連MySQL;MYSQL應用
應用層啟用關鍵日志記錄,例如交易日志,方便后續對賬什么的.MYSQL應用
3、MySQL數據庫層MYSQL應用
?? 前面幾層如果都做的不夠平安的話,在這層也幾乎是岌岌可危了.但我們依然可以做些事情的.MYSQL應用
啟用 safe-update 選項,避免沒有 WHERE 條件的全表數據被修改;MYSQL應用
將 binlog 的保存周期加長,便于后續的審計、審查;MYSQL應用
應用賬號只賦予SELECT、UPDATE、INSERT權限,取消DELETE權限.把需要DELETE權限的邏輯改成用UPDATE實現,避免被物理刪除;MYSQL應用
需要真正刪除時,交由DBA先備份后再物理刪除;MYSQL應用
可以采用Percona的SQL審計插件,據說還有macfee的插件;MYSQL應用
還可以采用觸發器來做一些輔助功能,比如防止黑客惡意篡改數據.MYSQL應用
4、后記MYSQL應用
?? 數據平安可以做的事情很多,本文也只是羅列了一些比較簡單可快速實施的方案.每個企業應有自己的平安策略規范,每一位參與者都應該心懷敬畏,努力遵守這些必要的規范,不使信息平安成為空談.MYSQL應用
?? 真正的數據平安,是靠所有人的意識平安作為支撐的,沒有這個意識靠機制、制度、工具都是不靠譜.于MYSQL應用
《Mysql實例MySQL安全策略(MySQL安全注意事項)》是否對您有啟發,歡迎查看更多與《Mysql實例MySQL安全策略(MySQL安全注意事項)》相關教程,學精學透。維易PHP學院為您提供精彩教程。