日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

導(dǎo)讀

如何提高M(jìn)ySQL的安全性？

數(shù)據(jù)庫(kù)的安全性無(wú)疑很重要，這里教大家?guī)渍泻?jiǎn)單方法提高安全性。

1. 正確設(shè)置 datadir 權(quán)限模式

關(guān)于 datadir 正確的權(quán)限模式是 0750，甚至是 0700。

也就是最多只允許 mysqld 進(jìn)程屬主用戶(hù)及其所在用戶(hù)組可訪問(wèn)，但只有屬主可修改文件。

***是直接設(shè)置成 0700，相對(duì)更安全些，避免數(shù)據(jù)文件意外泄漏。

 
 
 
  
  
  
[yejr@imysql.com]# chown -R mysql.mysql /data/mysql57  
  
  
  
[yejr@imysql.com]# chmod 0700 /data/mysql57  
  
  
  
[yejr@imysql.com]# ls -la /data/  
  
  
  
drwxr-x---.  8 mysql mysql 4096 Feb 14 08:08 mysql57 
 
 

2. 將 mysql socket 文件放在 datadir 下

很多人習(xí)慣將 mysql socket文件放在 /tmp 目錄下。

尤其是跑多實(shí)例時(shí)，/tmp 目錄下可能有 mysql3306.sock、mysql3307.sock、mysql3308.sock 等多個(gè)這樣的文件。

要注意，mysql.sock 文件默認(rèn)的權(quán)限模式是 0777，也就是任何人都有機(jī)會(huì)通過(guò) /tmp 目錄下的 socket 文件直接登入 mysql，尤其是root密碼為空或弱密碼，并且還允許本地 socket 方式登入時(shí)，是個(gè)比較危險(xiǎn)的安全隱患。

因此，我們強(qiáng)烈建議把 mysql socket 文件放置在每個(gè)實(shí)例自己的 datadir 下，并且參考***條建議，設(shè)置正確的權(quán)限模式。同時(shí)甚至也可以把 mysql.sock 文件權(quán)限模式修改為 0700。

 
 
 
  
  
  
[yejr@imysql.com]# chmod 0700 /data/mysql57/mysql.sock  
  
  
  
[yejr@imysql.com]# ls -la /data/mysql57/mysql.sock  
  
  
  
srwx------. 1 mysql mysql 0 Feb 12 16:00 /data/mysql57/mysql.sock 
 
 

3. 使用login-path

一般來(lái)說(shuō)，我們會(huì)為每個(gè)mysql賬戶(hù)設(shè)置密碼，這樣是安全了，但使用和維護(hù)起來(lái)就不方便了。

每次登入都要輸入密碼，尤其是調(diào)用mysql client工具時(shí)，如果直接將密碼寫(xiě)在client工具的選項(xiàng)里，則是非常危險(xiǎn)的行為，從歷史命令就能看到密碼了，并且會(huì)有類(lèi)似下面的提示：

 
 
 
  
  
  
mysql: [Warning] Using a password on the command line interface can be insecure. 
 
 

這時(shí)候，我們其實(shí)可以利用 login-path 功能來(lái)提高安全性及便利性。

login-path 特性是MySQL 5.6新增的。

首先，利用 mysql_config_editor 配置login-path：

 
 
 
  
  
  
#選項(xiàng) ”-G lp-mysql57-3306”設(shè)定login-path的別名 
  
  
  
mysql_config_editor set -G lp 
  
  
  
-mysql57-3306 -S /data/mysql57/mysql.sock -uroot -p
 
 

設(shè)置完后，就會(huì)在該用戶(hù)的 $HOME目錄下生成 .mylogin.cnf 文件：

 
 
 
  
  
  
[yejr@imysql.com]# ls -la ~/.mylogin.cnf  
  
  
  
-rw-------. 1 yejr users 152 Feb 11 22:42 /home/yejr/.mylogin.cnf  
  
  
  
[yejr@imysql.com]# file ~/.mylogin.cnf  
  
  
  
/home/yejr/.mylogin.cnf: data 
 
 

這是個(gè)加密的二進(jìn)制文件，即便用明文方式查看，也是無(wú)法顯示密碼的：

 
 
 
  
  
  
[yejr@imysql.com]# mysql_config_editor print --all  
  
  
  
mysql_config_editor print --all  
  
  
  
[lp-mysql57-13306]  
  
  
  
user = root  
  
  
  
password = *****  
  
  
  
socket = /data/mysql57/mysql.sock 
 
 

接下來(lái)可以利用 login-path 很方便的登入 mysqld 而無(wú)需額外的密碼：

 
 
 
  
  
  
[yejr@imysql.com]# mysql --login-path=lp-mysql57-13306 -e "select 1+1 from dual"  
  
  
  
+-----+  
  
  
  
| 1+1 |  
  
  
  
+-----+  
  
  
  
|   2 |  
  
  
  
+-----+  
  
  
  
 
  
  
  
 
  
  
  
[yejr@imysql.com]# mysqladmin --login-path=lp-mysql57-13306 pr  
  
  
  
+----+------+-----------+----+---------+------+----------+------------------+  
  
  
  
| Id | User | Host      | db | Command | Time | State    | Info             |  
  
  
  
+----+------+-----------+----+---------+------+----------+------------------+  
  
  
  
| 3  | root | localhost |    | Query   | 0    | starting | show processlist |  
  
  
  
+----+------+-----------+----+---------+------+----------+------------------+ 
 
 

在做好前面兩條安全規(guī)則的前提下，即便萬(wàn)一某個(gè)高權(quán)限等級(jí)用戶(hù)的 .mylogin.cnf 文件被其他普通用戶(hù)盜取，也無(wú)法利用 socket 方式登入 mysql。

當(dāng)然了，除非你之前在 login-path 里設(shè)置的是走 tcp/ip 方式，那就悲劇了～

下面是假設(shè) yejr 普通賬號(hào)想利用 root 賬號(hào)的 .mylogin.cnf 文件登入，報(bào)告失敗，因?yàn)闊o(wú)法訪問(wèn) /data/mysql57/mysql.sock 文件：

 
 
 
  
  
  
[yejr@imysql ~]$ /usr/local/mysql57/bin/mysql --login-path=lp-mysql57-13306  
  
  
  
ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/data/mysql57/mysql.sock'  
 
 

名稱(chēng)欄目：簡(jiǎn)單幾招提高M(jìn)ySQL安全性
網(wǎng)站網(wǎng)址：http://m.5511xx.com/article/dhpscjo.html