本頁目錄
資料庫管理人員可以參考本文件進行 mysql 資料庫系統的安全配置加固,提高資料庫的安全性,確保資料庫服務穩定、安全、可靠地執行。
您可以使用安騎士企業版自動檢測您的伺服器上是否存在 mysql 漏洞問題,或者您也可以自己排查您伺服器上的 mysql 服務是否存在安全問題。
帳號安全
口令
檢查賬戶預設密碼和弱密碼。口令長度需要至少八位,幷包括數字、小寫字母、大寫字母和特殊符號四類中的至少兩種型別,且五次以內不得設定相同的口令。密碼應至少每 90 天進行一次更換。
您可以通過執行以下命令修改密碼。
試用
mysql> update user set password=password('test!p3') where user='root';mysql> flush privileges;
授權
在資料庫許可權配置能力範圍內,根據使用者的業務需要,配置其所需的最小許可權。
檢視資料庫授權情況。
試用
mysql> use mysql;mysql> select * from user;mysql>select * from db;mysql>select * from host;mysql>select * from tables_priv;mysql>select * from columns_priv;
通過 revoke 命令**不必要的或危險的授權。
試用
mysql> help revokename: 'revoke'description:syntax:revokepriv_type [(column_list)][, priv_type [(column_list)]] ...on [object_type]from user [, user] ...
開啟日誌審計功能
資料庫應配置日誌功能,便於記錄執行狀況和操作行為。
mysql服務有以下幾種日誌型別:
安裝最新補丁
確保系統安裝了最新的安全補丁。
注意: 在保證業務及網路安全的前提下,並經過相容性測試後,安裝更新補丁。
如果不需要,應禁止遠端訪問
禁止網路連線,防止猜解密碼攻擊、溢位攻擊、和嗅探攻擊。
注意: 僅限於應用和資料庫在同一臺主機的情況。
如果資料庫不需要遠端訪問,可以禁止遠端 tcp/ip 連線,通過在 mysql 伺服器的啟動引數中新增--skip-networking引數使 mysql 服務不監聽任何 tcp/ip 連線,增加安全性。
您可以使用 安全組 進行內外網訪問控制,建議不要將資料庫高危服務對網際網路開放。
設定可信 ip 訪問控制
通過資料庫所在作業系統的防火牆限制,實現只有信任的 ip 才能通過***訪問資料庫。
試用
mysql> grant all privileges on db.*·-> -> to 使用者名稱@'ip子網/掩碼';
連線數設定
根據您的機器效能和業務需求,設定最大、最小連線數。
在 mysql 配置檔案(my.conf 或 my.ini)的 [mysqld] 配置段中新增max_connections = 1000,儲存配置檔案,重啟 mysql 服務後即可生效。
mysql加固口令 MySQL服務安全加固
資料庫管理人員可以參考本文件進行 mysql 資料庫系統的安全配置加固,提高資料庫的安全性,確保資料庫服務穩定 安全 可靠地執行。1.禁止 mysql 以管理員帳號許可權執行 以普通帳戶安全執行 mysqld,禁止以管理員帳號許可權執行 mysql 服務。在 etc my.cnf 配置檔案中進行以下...
phpMyadmin 服務安全加固
漏洞名稱 phpmyadmin 管理控制台弱口令。漏洞描述 phpmyadmin 是一款流行的資料庫管理系統,如果口令設定過於簡單,攻擊者可以登入到系統,對資料庫進行任意增 刪 改等高風險惡意操作,從而導致資料洩露或其他入侵事件發生,安全風險高。修復方案 根據通常的業務需求,資料庫管理後台主要方便地...
伺服器安全加固
注 以下所有操作均在centos 6.5 x86 64位系統下完成。寫在最前 安全無小事,一切只要能增強安全性的事情,都是值得去做的。安全配置 1 防止伺服器被ping,禁止該功能。echo 1 proc sys net ipv4 icmp echo ignore all 並且儲存配置到開機自動設定...