Chinaunix首页 | 论坛 | 博客
  • 博客访问: 907475
  • 博文数量: 354
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 3730
  • 用 户 组: 普通用户
  • 注册时间: 2017-08-21 18:43
文章分类

全部博文(354)

文章存档

2019年(126)

2018年(223)

2017年(5)

我的朋友

分类: Mysql/postgreSQL

2018-06-08 14:30:20

  1、生产环境程序账号权限必须分类:

  –读写账号,且读写分离

  –DDL账号

  –具有特殊权限的账号,如replication client,show databases等

  –监控和管理程序账号

  2、一个账号对应一个数据库模块(database),且账号名必须包含模块名(垂直拆分的时候,查看流量)

  3、禁止开发人员直接ssh登陆DBA机器,禁止程序账号具有file、super等高危权限

  4、禁止程序使用load data,用load data local替代。若无load data需求,则关闭服务器的--local-infile选项。

  5、临时账号包含“tmp”,线下账号包含“offline”等可识别字样

  6、同一个集群内同步账号和密码必须统一

  7、新建账号、授权权限、修改密码必须使用grant语句

  8、收回权限必须使用revoke或drop user语句

  9、数据库参数old_passwords必须设为OFF

阅读(913) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~