频道直达 - 专题 - 新闻 - 技巧 - 组网 - 开发 - 安全 - web编程 - 图像 - 操作系统 - 数据库 - 教育 - 旅游 - 健康 - 时尚 - 驱动 - 软件 - 游戏 - 多媒体 - ERP - 讨论组
阅读排行榜 | 收藏此文 | 收藏本站 | 设为首页

教您如何安全的应用 MySQL

来源: 作者: 出处:巧巧读书 2006-05-09 进入讨论组
上一页 1 2 3 

配置服务器

为了更加安全地使用MySQL,需要对MySQL的数据库进行安全配置。由于Chroot的原因,配置文件也会有所不同。

1.关闭远程连接

首先,应该关闭3306端口,这是MySQL的默认监听端口。由于此处MySQL只服务于本地脚本,所以不需要远程连接。尽管MySQL内建的安全机制很严格,但监听一个TCP端口仍然是危险的行为,因为如果MySQL程序本身有问题,那么未授权的访问完全可以绕过MySQL的内建安全机制。关闭网络监听的方法很简单,在/chroot/mysql/etc/my.cnf文件中的[mysqld]部分,去掉#skip-networking前面的“#”即可。

关闭了网络,本地程序如何连接MySQL数据库呢?本地程序可以通过mysql.sock来连接,速度比网络连接更快。后文将提到关于mysql.sock的具体情况。

MySQL的备份通常使用SSH来执行。

2.禁止MySQL导入本地文件

下面将禁止MySQL中用“LOAD DATA LOCAL INFILE”命令。这个命令会利用MySQL把本地文件读到数据库中,然后用户就可以非法获取敏感信息了。

为了禁止上述命令,在/chroot/mysql/etc/my.cnf文件的[mysqld]部分加入下面语句: 

set-variable=local-infile=0


为了管理方便,一般在系统中的MySQL管理命令如mysql、mysqladmin、mysqldump等,使用的都是系统的/etc/my.cnf文件。如果要连接,它会寻找/tmp/mysql.sock文件来试图连接MySQL服务器,但是这里要连接的是chroot下的MySQL服务器。解决办法有两个:一个是在管理命令后面加入--socket=/chroot/mysql/tmp/mysql.sock。例如: 

#/usr/local/mysql/bin/mysql -root -p --socket=/chroot/mysql/tmp/mysql.sock


另一个就是在/etc/my.cnf的[client]部分加入socket=/chroot/mysql/tmp/mysql.sock。显然,第二种方法方便多了。

3.修改MySQL的root用户ID和密码 

#chrootuid /chroot/mysql mysql /usr/local/mysql/libexec/mysqld &
#/usr/local/mysql/bin/mysql -uroot
.......
mysql>SET PASSWORD FOR root@localhost=PASSWORD('new_password');


要尽量养成在mysql下输入密码的习惯,因为Shell下面输入的时候可能会被其它人看见。 

mysql>use mysql;
mysql>update user set user="wghgreat" where user="root";
mysql>select Host,User,Password,Select_priv,Grant_priv from user;
mysql>delete from user where user='';
mysql>delete from user where password='';
mysql>delete from user where host='%';
mysql>drop database test;


修改为一个不容易猜的ID: 

mysql>flush privileges;
mysql>quit;


4.删除历史命令记录

这些历史文件包括~/.bash_history、~/.mysql_history等。如果打开它们,你会大吃一惊,怎么居然有一些明文的密码在这里?! 

#cat /dev/null > ~/.bash_history
#cat /dev/null > ~/.mysql_history


PHP和MySQL通信

默认情况下,PHP会通过/tmp/mysql.sock来和MySQL通信,但这里的一个大问题是MySQL生成的根本不是它,而是/chroot/mysql/tmp/mysql.sock。解决的办法就是做一个连接: 

#ln /chroot/mysql/tmp/mysql.sock /tmp/mysql.sock


注意:由于hard links不能在文件系统的分区之间做,所以该处的连接必须位于同一分区内部。

自启动配置

自启动配置前先提示一点,用于PHP的数据库需要用一个新建的账号,其上有数据库权限设置,比如FILE、GRANT、ACTER、SHOW DATABASE、RELOAD、SHUTDOWN、PROCESS、SUPER等。

自启动脚本示例: 

#!/bin/sh
CHROOT_MYSQL=/chroot/mysql 
SOCKET=/tmp/mysql.sock
MYSQLD=/usr/local/mysql/libexec/mysqld
PIDFILE=/usr/local/mysql/var/`hostname`.pid
CHROOTUID=/usr/bin/chrootuid
echo -n " mysql"
case "$1" in
start)
   rm -rf ${SOCKET}
   nohup ${CHROOTUID} ${CHROOT_MYSQL} mysql ${MYSQLD} >/dev/null 2>&1 &
   sleep 5 && ln ${CHROOT_MYSQL}/${SOCKET} ${SOCKET}
   ;;
stop)
   kill `cat ${CHROOT_MYSQL}/${PIDFILE}`
   rm -rf ${CHROOT_MYSQL}/${SOCKET}
   ;;
*)
   echo ""
   echo "Usage: `basename $0` {start|stop}" >&2
   exit 64
   ;;
esac
exit 0


文件位于/etc/rc.d/init.d下,名为mysqld,注意要可执行。 

#chmod +x /etc/rc.d/init.d/mysqld
#ln  -s /etc/rc.d/init.d/mysql /etc/rc3.d/S90mysql
#ln  -s /etc/rc.d/init.d/mysql /etc/rc0.d/K20mysql


尽管不能做到100%的安全,但是这些措施可以保护我们的系统更加安全。

保留地址 http://www.qqread.com/mysql/h532107052.html 更多文章 更多内容请看路由安全配置专题系统安全设置MySQL数据备份专题,或进入讨论组讨论。
更多专题 【深 度 阅 读】 相 关 文 章
上一页 1 2 3 
收藏此文】【 】【打印】【关闭
较早的文章:在web上管理MySQL:phpMyAdmin使用讲解

较新的文章:设置 MySql 数据同步
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
巧巧读书宗旨
相关专题
更多排行>>
讨论组问题推荐
站内各频道最新更新文档
站内最新制作专题
热门关键字导读
Photoshop教 程照片处理 照片制作 PS快捷键 抠图
计 算 机 故 障XP系统修复
艺 术 与 设 计设计 流媒体 设计欣赏 边框
计 算 机 安 全ARP
站内频道文章精选
新闻资讯
操作系统
桌面开发
数据库
电脑技巧
常用软件
网络程序开发
图像处理
巧巧电脑频道编辑信箱  告诉我们您想看的专题或文章