Chinaunix首页 | 论坛 | 博客
  • 博客访问: 387537
  • 博文数量: 273
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 1430
  • 用 户 组: 普通用户
  • 注册时间: 2018-02-02 15:57
文章分类

全部博文(273)

文章存档

2018年(273)

我的朋友

分类: Mysql/postgreSQL

2018-07-06 15:28:39

导读

如何提高MySQL的安全性

数据库的安全性无疑很重要,这里教大家几招简单方法提高安全性。

1. 正确设置 datadir 权限模式

关于 datadir 正确的权限模式是 0750,甚至是 0700。

也就是最多只允许 mysqld 进程属主用户及其所在用户组可访问,但只有属主可修改文件。

最好是直接设置成 0700,相对更安全些,避免数据文件意外泄漏。


[yejr@imysql.com]# chown -R mysql.mysql /data/mysql57 [yejr@imysql.com]# chmod 0700 /data/mysql57 [yejr@imysql.com]# ls -la /data/ drwxr-x---. 8 mysql mysql 4096 Feb 14 08:08 mysql57

2. 将 mysql socket 文件放在 datadir 下

很多人习惯将 mysql socket文件放在 /tmp 目录下。

尤其是跑多实例时,/tmp 目录下可能有 mysql3306.sock、mysql3307.sock、mysql3308.sock 等多个这样的文件。

要注意,mysql.sock 文件默认的权限模式是 0777,也就是任何人都有机会通过 /tmp 目录下的 socket 文件直接登入 mysql,尤其是root密码为空或弱密码,并且还允许本地 socket 方式登入时,是个比较危险的安全隐患。

因此,我们强烈建议把 mysql socket 文件放置在每个实例自己的 datadir 下,并且参考第一条建议,设置正确的权限模式。同时甚至也可以把 mysql.sock 文件权限模式修改为 0700。


[yejr@imysql.com]# chmod 0700 /data/mysql57/mysql.sock [yejr@imysql.com]# ls -la /data/mysql57/mysql.sock srwx------. 1 mysql mysql 0 Feb 12 16:00 /data/mysql57/mysql.sock

3. 使用login-path

一般来说,我们会为每个mysql账户设置密码,这样是安全了,但使用和维护起来就不方便了。

每次登入都要输入密码,尤其是调用mysql client工具时,如果直接将密码写在client工具的选项里,则是非常危险的行为,从历史命令就能看到密码了,并且会有类似下面的提示:


阅读(888) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~