Chinaunix首页 | 论坛 | 博客
  • 博客访问: 692666
  • 博文数量: 63
  • 博客积分: 1327
  • 博客等级: 中尉
  • 技术积分: 2022
  • 用 户 组: 普通用户
  • 注册时间: 2012-05-19 18:39
文章分类

全部博文(63)

文章存档

2013年(3)

2012年(60)

分类: Mysql/postgreSQL

2013-05-07 21:32:33

以MySQL为例,聊聊新手不经意间疏忽的地方,这些都是数据库的安全隐患

1. 删除默认用户
安装MySQL以后,授权表中会有多个初始化帐号,里面大部分是不用的,见意删除,不然后可能会给黑客以可乘之机,我一般安装完以后都会先做一下清理
delete from mysql.user where user<>'root';
delete from mysql.user where host<>'localhost';
这样就只有root@localhost这个用户了,然后再重新添加需要的用户

2. 不要用空口令
安装完以后,MySQL的root用户默认口令是空,也就是没有口令,好多人习惯不用口令,因为这样可以节省每次连接的时间
但方便和安全永远是对立的,我宁愿麻烦一点儿,我也会选择安全,所以最好设个口令,比较安全
update mysql.uset set password=password('123') where user='root';

3. 删除Mysql命令历史记录
象上面的修改root用户口令的语句,其实已经被记录到登录操作系统的用户home目录下了,名称为.mysql_history,里面有你执行过的历史命令记录。
所以见意定期清一下,否则一些口令就会被看到。

4. 指定监听端口
默认安装的监听端口是3306,这个差不多已经被公认为最普遍的配置了,但也同时给黑客以可乘之机,所以劝大家尽量改一下,以增加被人黑的成本

5. 指定连接IP
数据库千万不要露在公网之下,所以千万不要用root@%这种谁都可以访问的方式来配置数据库,虽然方便但不安全。
所以我觉得可以用root@指定IP地址方式来严格控制连接数据库的IP,用哪个IP就把哪个IP加进授权表。

6. 指定监听IP
一般企业用户都是通过内网来访问数据库的,这样就可以为数据库设置一下监听IP,这样外网就没法来连接数据库了。
可以通过指定bind-address=本机内网IP,这种方式来指定监听服务的IP,公网用户是没办法直接连接进来的

这是一个随笔,随便写了几个我培养新人的一些经验,这也是新人最容易范的错误!


阅读(6620) | 评论(2) | 转发(3) |
给主人留下些什么吧!~~

柳拂风2013-05-08 11:49:50

数据库服务器,防火墙是必须的,操作系统的防火墙一定要开启,封掉端口。能买个硬件防火墙就更好了。