名站网址导航为大家提供关于数据库教程相关的教程网站知识。
正在看的ORACLE教程是:MySQL安全性指南 (1)(转)。 MySQL安全性指南MySQL安全性指南 (2)(转)
作 者: 晏子
作为一个MySQL的系统管理员,您有责任维护您的MySQL网站数据库系统的数据安全性和完整性。本文主要主要介绍如何建立一个安全的MySQL系统,从系统内部和外部网络两个角度,为您提供一个指南。
本文主要考虑下列安全性有关的问题:
为什么安全性很重要,您应该防范那些攻击?
站点服务器面临的风险(内部安全性),如何处理?
连接站点服务器的客户端风险(外部安全性),如何处理?
MySQL管理员有责任保证网站数据库内容的安全性,使得这些数据记录只能被那些正确授权的用户访问,这涉及到网站数据库系统的内部安全性和外部安全性。
内部安全性关心的是网站网站文件系统级的问题,即,防止MySQL数据目录(DATADIR)被在站点服务器主机有账号的人(合法或窃取的)进行攻击。假如如果数据目录内容的权限过分授予,使得每个人均能简单地替代对应于那些网站数据库表的网站网站文件,那么确保控制客户通过网络访问的授权表设置正确,对此毫无意义。
外部安全性关心的是从外部通过网络连接站点服务器的客户的问题,即,保护MySQL站点服务器免受来自通过网络对站点服务器的连接的攻击。您必须设置MySQL授权表(grant table),使得他们不允许访问站点服务器管理的网站数据库内容,除非提供有效的用户名和口令。
下面就详细介绍如何设置网站网站文件系统和授权表 mysql,实现MySQL的两级安全性。
一、内部安全性-保证数据目录访问的安全
MySQL站点服务器通过在MySQL网站数据库中的授权表提供了一个灵活的权限系统。您可以设置这些表的内容,允许或拒绝客户对网站数据库的访问,这提供了您防止未授权的网络访问对您网站数据库攻击的安全手段,然而假如如果主机上其他用户能直接访问数据目录内容,建立对通过网络访问网站数据库的良好安全性对您毫无帮助,除非您知道您是登录MySQL站点服务器运行主机的唯一用户,否则您需要关心在这台机器上的其他用户获得对数据目录的访问的可能性。
以下是您应该保护的内容:
网站数据库网站网站文件。很明显,您要维护站点服务器管理的网站数据库的私用性。网站数据库拥有者通常并且应该考虑网站数据库内容的安全性,即使他们不想,也应该考虑时网站数据库内容公开化,而不是通过糟糕的数据目录的安全性来暴露这些内容。
日志网站网站文件。一般和更新日志必须保证安全,因为他们包含查询文本。对日志网站网站文件有访问权限的任何人可以监视网站数据库进行过的操作办法。
更要重点考虑的日志网站网站文件安全性是诸如GRANT和SET PASSWORD等的查询也被记载了,一般和更新日志包含有敏感查询的文本,包括口令(MySQL使用口令加密,但它在已经完成设置后才运用于以后的连接建立。设置一个口令的过程设计象GRANT或SET PASSWORD等查询,并且这些查询以普通文本形式记载在日志网站网站文件中)。假如如果一个攻击者犹如日网站网站文件的读权限,只需在日志网站网站文件上运行grep寻找诸如GRANT和PASSWORD等词来发现敏感信息。
显然,您不想让站点服务器主机上的其他用户有网站数据库目录网站网站文件的写权限,因为他们可以重写您的状态网站网站文件或网站数据库表网站网站文件,但是读权限也很危险。假如如果一个网站数据库表网站网站文件能被读取,偷取网站网站文件并得到MySQL本身,以普通文本显示表的内容也很麻烦,为什么?因为您要做下列事情:
在站点服务器主机上安装您自己“特制”的MySQL站点服务器,但是有一个不同于官方站点服务器版本的端口、套接字和数据目录。
运行mysql_install_db初始化您的数据目录,这赋予您作为MySQL root用户访问您的站点服务器的权限,所以您有对站点服务器访问机制的完全控制,它也建立一个test网站数据库。
将对应于您想偷取得表网站网站文件拷贝到您站点服务器的网站数据库目录下的test目录。
启动您的站点服务器。您可以随意访问网站数据库表,ShOW TABLES FROM test显示您有一个偷来的表的拷贝,SELECT *显示它们任何一个的全部内容。
假如如果您确实很恶毒,将权限公开给您站点服务器的任何匿名用户,这样任何人能从任何地方连接站点服务器访问您的test网站数据库。您现在将偷来的网站数据库表公布于众了。
在考虑一下,从相反的角度,您想让别人对您这样吗?当然不!您可以通过在网站数据库录下执行ls -l开始执行命令确定您的网站数据库是否包含不安全的网站网站文件和目录。查找有“组”和“其他用户”权限设置的网站网站文件和目录。下面是一个不安全数据目录的一部分列出:
% ls -l
total 10148
drwxrwxr-x 11 mysqladm wheel 1024 May 8 12:20 .
drwxr-xr-x 22 root wheel 512 May 8 13:31 ..
drwx------ 2 mysqladm mysqlgrp 512 Apr 16 15:57 menagerie
drwxrwxr-x 2 mysqladm wheel 512 Jan 25 20:40 mysql
drwxrwxr-x 7 mysqladm wheel 512 Aug 31 1998 sql-bench
drwxrwxr-x 2 mysqladm wheel 1536 May 6 06:11 test
drwx------ 2 mysqladm mysqlgrp 1024 May 8 18:43 tmp
....
正如您看到的,有些网站数据库有正确的权限,而其他不是。本例的情形是经过一段时间后的结果。较少限制的权限由在权限设置方面比更新版本更不严格的较早版本站点服务器设置的(注意更具限制的目录menageria和tmp都有较近日期)。MySQL当前版本确保这些网站网站文件只能由运行站点服务器的用户读取。
让咱们来修正这些权限,使得只用站点服务器用户可访问它们。您的主要保护相关工具来自于由UNIX网站网站文件系统本身提供的设置网站网站文件和目录属主和模式的相关工具。下面是咱们要做的:
进入该目录
% cd DATADIR
设置所有在数据目录下的网站网站文件属主为由用于运行站点服务器的账号拥有(您必须以root执行这步)。在本文使用mysqladm和mysqlgrp作为该账号的用户名和组名。您可以使用下列开始执行命令之一改变属主:
# chown mysqladm.mysqlgrp .
# find . -follow -type d -print | xargs chown mysqladm.mysqlgrp
设置您的数据目录和网站数据库目录的模式使得他们只能由mysqladm读取,这阻止其他用户访问您网站数据库目录的内容。您可以用下列开始执行命令之一以root或mysqladm身份运行。
% chmod -R go-rwx .
% find . -follow -type d -print | xargs chmod go-rwx
数据目录内容的属主和模式为mysqladm设置。现在您应该保证您总是以mysqladm用户运行站点服务器,因为现在这是唯一由访问网站数据库目录权限的用户(除root)。
在完成这些设置后,您最终应该得到下面的数据目录权限:
% ls -l
total 10148
drwxrwx--- 11 mysqladm mysqlgrp 1024 May 8 12:20 .
drwxr-xr-x 22 root wheel 512 May 8 13:31 ..
drwx------ 2 mysqladm mysqlgrp 512 Apr 16 15:57 menagerie
drwx------ 2 mysqladm
关于数据库教程相关的教程网站知识今天我们就说到这里了,希望可以帮到大家。
