分类: Mysql/postgreSQL
2018-06-08 14:30:20
1、生产环境程序账号权限必须分类:
–读写账号,且读写分离
–DDL账号
–具有特殊权限的账号,如replication client,show databases等
–监控和管理程序账号
2、一个账号对应一个数据库模块(database),且账号名必须包含模块名(垂直拆分的时候,查看流量)
3、禁止开发人员直接ssh登陆DBA机器,禁止程序账号具有file、super等高危权限
4、禁止程序使用load data,用load data local替代。若无load data需求,则关闭服务器的--local-infile选项。
5、临时账号包含“tmp”,线下账号包含“offline”等可识别字样
6、同一个集群内同步账号和密码必须统一
7、新建账号、授权权限、修改密码必须使用grant语句
8、收回权限必须使用revoke或drop user语句
9、数据库参数old_passwords必须设为OFF
