Chinaunix首页 | 论坛 | 博客
  • 博客访问: 14062
  • 博文数量: 6
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: -10
  • 用 户 组: 普通用户
  • 注册时间: 2013-03-25 16:57
文章分类
文章存档

2014年(2)

2013年(4)

我的朋友

分类: Mysql/postgreSQL

2013-05-08 17:09:04

以MySQL为例,聊聊新手不经意间疏忽的地方,这些都是数据库的安全隐患

1. 删除默认用户
安装MySQL以后,授权表中会有多个初始化帐号,里面大部分是不用的,见意删除,不然后可能会给黑客以可乘之机,我一般安装完以后都会先做一下清理
delete from mysql.user where user<>'root';
delete from mysql.user where host<>'localhost';
这样就只有root@localhost这个用户了,然后再重新添加需要的用户

2. 不要用空口令
安装完以后,MySQL的root用户默认口令是空,也就是没有口令,好多人习惯不用口令,因为这样可以节省每次连接的时间
但方便和安全永远是对立的,我宁愿麻烦一点儿,我也会选择安全,所以最好设个口令,比较安全
update mysql.uset set password=password('123') where user='root';

3. 删除Mysql命令历史记录
象上面的修改root用户口令的语句,其实已经被记录到登录操作系统的用户home目录下了,名称为.mysql_history,里面有你执行过的历史命令记录。
所以见意定期清一下,否则一些口令就会被看到。

4. 指定监听端口
默认安装的监听端口是3306,这个差不多已经被公认为最普遍的配置了,但也同时给黑客以可乘之机,所以劝大家尽量改一下,以增加被人黑的成本

5. 指定连接IP
数据库千万不要露在公网之下,所以千万不要用root@%这种谁都可以访问的方式来配置数据库,虽然方便但不安全。
所以我觉得可以用root@指定IP地址方式来严格控制连接数据库的IP,用哪个IP就把哪个IP加进授权表。

6. 指定监听IP
一般企业用户都是通过内网来访问数据库的,这样就可以为数据库设置一下监听IP,这样外网就没法来连接数据库了。
可以通过指定bind-address=本机内网IP,这种方式来指定监听服务的IP,公网用户是没办法直接连接进来的

这是一个随笔,随便写了几个我培养新人的一些经验,这也是新人最容易范的错误!


阅读(588) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~