數(shù)十年專注企業(yè)數(shù)字化轉(zhuǎn)型、智能化升級、企業(yè)上云解決方案服務(wù)商
工單提交 騰佑科技咨詢熱線咨詢熱線: 400-996-8756
百度云服務(wù)中心騰佑科技公司
云服務(wù)器活動 服務(wù)器租用 服務(wù)器托管 機柜租賃 帶寬租賃
  • 最新資訊
  • 熱門資訊
  • 最熱資訊
智能建站

高防服務(wù)器租用下mysql數(shù)據(jù)庫的安全設(shè)置方法

發(fā)布時間:2019-04-11 作者:admin

簡述:高防服務(wù)器租用下mysql數(shù)據(jù)庫的安全設(shè)置方法 現(xiàn)在很多企業(yè)都選擇高防服務(wù)器租用,那么在高防服務(wù)器中如何保證mysql數(shù)據(jù)的安全呢?下面服務(wù)器租用商為大家講解高防服務(wù)器租用下mysql數(shù)據(jù)庫的安全設(shè)置

高防服務(wù)器租用下mysql數(shù)據(jù)庫的安全設(shè)置方法
現(xiàn)在很多企業(yè)都選擇高防服務(wù)器租用,那么在高防服務(wù)器中如何保證mysql數(shù)據(jù)的安全呢?下面服務(wù)器租用商為大家講解高防服務(wù)器租用下mysql數(shù)據(jù)庫的安全設(shè)置方法。
我們把Mysql安裝在 /usr/local/mysql目次下,我們必須成立一個用戶名為mysql,組為mysql的用戶來運轉(zhuǎn)我們的mysql,同時我們把它的配置文件拷貝到 /etc目次下:
# cp suport-files/my-medium.cnf /etc/my.cnf  chown root:sys /etc/my.cnf  chmod 644 /etc/my.cnf
利用用戶mysql來啟動我們的mysql:
# /usr/local/mysql/bin/mysqld_safe -user=mysql
(1) 建改root用戶的的口令
缺省安拆的mysql是出有暗碼的,所以我們要建改,以防萬一。下面回支三種體例來建改root的口令。
* 用mysqladmin呼吁來改root用戶口令  # mysqladmin -uroot password test
如許,MySQL數(shù)據(jù)庫root用戶的口令便被改成test了。(test只是舉例,我們真際利用的口令必然沒有克沒有及利用這類易猜的強口令)
* 用set password建改口令:
mysql> set password for root@localhost=password("test"); ;這時候root用戶的口令便被改成test了。
* 直接建改user表的root用戶口令 mysql> use mysql;
mysql> update user set password=password("test") where user="root"; mysql> flush privileges
如許,MySQL數(shù)據(jù)庫root用戶的口令也被改成test了。個中最后一句呼吁flush privileges的意思是強迫刷新內(nèi)存授權(quán)表,沒有然用的借是緩沖中的口令,這時候非法用戶借能夠用root用戶及空口令登岸,直到重啟MySQL服務(wù)器。
(2) 刪除默許的數(shù)據(jù)庫和用戶  我們的數(shù)據(jù)庫是正在當(dāng)天,并且也只需供當(dāng)天的php足本對mysql停止讀取,所以許多用戶沒有需供。mysql初始化后會自動生成空用戶和test庫,這會對數(shù)據(jù)庫構(gòu)成威脅,我們局部刪除。
我們利用mysql客戶端法式銜接到當(dāng)天的mysql服務(wù)器后呈現(xiàn)如下提醒:  mysql> drop database test; mysql> use mysql
mysql> delete from db; 
mysql> delete from user where not(host="localhost" and user="root");  mysql> flush privileges
(3) 改變默許mysql治理員的名稱  這個工做是能夠選擇的,按照小我風(fēng)尚,由于默許的mysql的治理員名稱是root,所以若是能夠建改的話,能夠防備一些足本小子對系統(tǒng)的窮舉。我們能夠直接建改數(shù)據(jù)庫,把root用戶改成"admin" mysql> use mysql
mysql> update user set user="admin" where user="root";  mysql> flush privileges
(4) 提高當(dāng)天安全性
提高當(dāng)天安全性,次假設(shè)防備mysql對當(dāng)天文件的存取,比如烏客經(jīng)過mysql把/etc/passwd取得了,會對系統(tǒng)構(gòu)成威脅。mysql對當(dāng)天文件的存取是經(jīng)過SQL語句來真現(xiàn),次假設(shè)經(jīng)過Load DATA LOCAL INFILE來真現(xiàn),我們能夠經(jīng)過禁用該功能來防備烏客經(jīng)過SQL注射等取得系統(tǒng)中間文件。 禁用該功能必須正在 my.cnf 的[mysqld]部份加上一個參數(shù)set-variable=local-infile=0
(5) 脅制長途銜接mysql
由于我們的mysql只需供當(dāng)天的php足本停止銜接,所以我們無需開socket停止監(jiān)聽,那末我們完全能夠封閉監(jiān)聽的功能。  有兩個辦法真現(xiàn):
* 配置my.cnf文件,正在[mysqld]部份添加 skip-networking 參數(shù)
* mysqld服務(wù)器中參數(shù)中添加 --skip-networking 啟動參數(shù)來使mysql沒有監(jiān)任憑何TCP/IP銜接,增加安全性。若是要停止mysql的治理的話,能夠正在服務(wù)器當(dāng)天安拆一個phpMyadmin來停止治理。
(6) 節(jié)制數(shù)據(jù)庫會晤權(quán)限
關(guān)于利用php足正本停止交互,最好成立一個用戶只針對某個庫有 update、select、delete、insert、drop table、create table等權(quán)限,如許便很好防備了數(shù)據(jù)庫用戶名和暗碼被烏客查看后最小喪得。
比如下面我們確立一個數(shù)據(jù)庫為db1,同時成立一個用戶test1能夠會晤該數(shù)據(jù)庫。
mysql> create database db1
mysql> grant select,insert,update,delete,create,drop privileges on db1.* to test1@localhost identified by "admindb";以上SQL是確立一個數(shù)據(jù)庫db1,同時增加了一個test1用戶,口令是admindb,然則它只能從當(dāng)天銜接mysql,對db1庫有select,insert,update,delete,create,drop操做權(quán)限。
(7) 限定通俗用戶欣賞其他用戶數(shù)據(jù)庫  若是有多個數(shù)據(jù)庫,每個數(shù)據(jù)庫有一個用戶,那末必須限定用戶欣賞其他數(shù)據(jù)庫內(nèi)容,能夠正在啟動MySQL服務(wù)器時加--skip-show-database 啟動參數(shù)便能夠到達(dá)方針。
( 遺記mysql暗碼的籌劃辦法
若是得慎遺記了MySQL的root暗碼,我們能夠正在啟動MySQL服務(wù)器時加上參數(shù)--skip-grant-tables來跳過授權(quán)表的驗證 (./safe_mysqld --skip-grant-tables &),如許我們便能夠直接登岸MySQL服務(wù)器,然后再建改root用戶的口令,重啟MySQL便能夠用新口令登岸了。
(9) 數(shù)據(jù)庫文件的安全
我們默許的mysql是安拆正在/usr/local/mysql目次下的,那末對應(yīng)的數(shù)據(jù)庫文件就是正在/usr/local/mysql/var目次下,那末我們要包管該目次沒有克沒有及讓未經(jīng)授權(quán)的用戶會晤后把數(shù)據(jù)庫挨包拷貝走了,所以要限定對該目次的會晤。  我們建改該目次的所屬用戶和組是mysql,同時改變會晤權(quán)限:  # chown -R mysql.mysql /usr/local/mysql/var  # chmod -R go-rwx /usr/local/mysql/var
(10) 刪除汗青記真
嘗試以上的呼吁會被shell記真正在汗青文件里,比如bash會寫進用戶目次的.bash_history文件,若是這些文件得慎被讀,那末數(shù)據(jù)庫的暗碼便會泄露。用戶登岸數(shù)據(jù)庫后嘗試的SQL呼吁也會被MySQL記真正在用戶目次的.mysql_history文件里。若是數(shù)據(jù)庫用戶用SQL語句建改了數(shù)據(jù)庫暗碼,也會因.mysql_history文件而泄露。所以我們正在shell登岸及備份的時分沒有要正在-p后直接加暗碼,而是正在提醒后再輸進數(shù)據(jù)庫暗碼。
另外這兩個文件我們也應(yīng)當(dāng)沒有讓它記真我們的操做,以防萬一。 # rm .bash_history .mysql_history  # ln -s /dev/null .bash_history  # ln -s /dev/null .mysql_history
(11) 其他
另外借能夠思考利用chroot等體例來節(jié)制mysql的運轉(zhuǎn)目次,更好的節(jié)制權(quán)限,具體能夠參考相干文章。
4. vsFTPd安全設(shè)置
vsFTPd是一款極度出名的ftp daemon法式,今朝包含Redhat.com正在內(nèi)許多至公司都正在利用,它是一款極度安全的法式,由于它的名字便叫:Very Secure FTP Daemon (極度安全的FTP服務(wù)器)。
vsftpd設(shè)置選項比較多,涉及圓圓面面,我們下面次假設(shè)針對安全圓面停止設(shè)置。
今朝我們的需供就是利用系統(tǒng)帳戶同時也做為是我們的FTP帳戶來停止我們文件的治理,今朝假定我只需供一個帳戶來更新我的網(wǎng)站,并且我沒有希視該帳戶能夠登岸我們的系統(tǒng),比如我們的網(wǎng)站的目次是正在/usr/www下面,那末我們新建一個用戶ftp,它的主目次是/usr/www,并且它的shell是/usr/sbin/nologin,就是出有shell,防備該用戶經(jīng)過ssh等登岸到系統(tǒng)。
下面正在停止系統(tǒng)詳實的設(shè)置,次要就是針對vsftpd的配置文件vsftpd.conf文件的配置。
(1) 脅制匿名用戶會晤, 我們沒有需供甚么匿名用戶,直接脅制掉:  anonymous_enable=NO
(2) 許可當(dāng)天用戶登岸,由于我們需供利用ftp用戶來對我們網(wǎng)站停止治理:  local_enable=YES
(3) 只許可系統(tǒng)中的ftp用戶或某些指定的用戶會晤ftp,由于系統(tǒng)中帳戶寡多,沒有成能讓誰都邑晤。挨開用戶文件列表功能:  userlist_enable=YES
只許可用戶文件列表中的用戶會晤ftp: userlist_deny=NO  用戶名文件列表途徑:
userlist_file=/etc/vsftpd.user_list
然后正在/etc下成立文件 vsftpd.user_list 文件,一行一個,把用戶ftp加進來,同時也能夠加上你許可會晤的系統(tǒng)帳戶名。
(4) 脅制某些用戶登岸ftp:  pam_service_name=vsftpd
指出VSFTPD停止PAM認(rèn)證時所利用的PAM配置文件名,默許值是vsftpd,默許PAM配置文件是/etc/pam.d/vsftpd。
/etc/vsftpd.ftpusers
VSFTPD脅制列正在此文件中的用戶登錄FTP服務(wù)器,用戶名是一行一個。這個機制是正在/etc/pam.d/vsftpd中默許設(shè)置的。
這個功能和(3)里的功能有點相似,他們倆能星散利用,那樣便最好了。
(5) 把當(dāng)天用戶鎖定正在本身的主目次,防備轉(zhuǎn)到其他目次,比如把/etc/passwd給下載了:
chroot_local_users=NO  chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
然后正在/etc下成立vsftpd.chroot_list文件,內(nèi)中把我們要限定確當(dāng)天帳戶加進來,一行一個,我們加上ftp,防備它登岸到系統(tǒng)。
(6) 躲藏文件真真的十足用戶和組疑息,防備烏客拿下ftp后查看更多系統(tǒng)用戶疑息:
hide_ids=YES
<div>(7) 勾銷ls -R呼吁,節(jié)省資本,由于利用該呼吁,正在文件列表許多的時分將浪擲大量系統(tǒng)資本: ls_recurse_enable=NO
( 上傳文件的默許權(quán)限,設(shè)置為022: local_umask=022
若是要覆蓋刪除等,借要挨開: write_enable=YES
(9) ftp的banner疑息,為了防備烏客取得更多服務(wù)器的疑息,設(shè)置該項: ftpd_banner=banner string
把前面的banner string設(shè)為你需供的banner提醒疑息,為了安全,建議沒有要袒露關(guān)于vsFTPd的任何疑息。 另外,若是你的疑息比較多的話,能夠設(shè)置為提醒疑息是讀取一個文件中的疑息: banner_file=/directory/vsftpd_banner_file
(10) 挨開日志功能: xferlog_enable=YES同時設(shè)置日志的目次:
xferlog_file=/var/log/vsftpd.log 啟器具體的日志記真格局: xferlog_enable=YES
(11) 若是挨開虛用戶功能等,那末建議封閉當(dāng)天用戶登岸: local_enable=NO
vsFTPd借有許多安全設(shè)置,終究人家的名字就是:Very Secure FTP Daemon,橫豎它的溢露馬足甚么的是很少的,若是要更安全,建議按照本身的需供設(shè)置vsftpd,設(shè)置的好,它盡對是最安全的。

本文出自:服務(wù)器租用/服務(wù)器托管全國十強,虛擬主機、vps主機頂級提供商!品質(zhì)保證!—騰佑科技【m.mubashirfilms.com】

更多信息請點擊【新聞資訊

點擊展開全文

鄭州騰佑科技有限公司(以下簡稱“騰佑科技”)成立于2009年, 總部位于鄭州,是 一家致力于互聯(lián)網(wǎng)服務(wù)業(yè)的高新技術(shù)企業(yè),公司主營業(yè)務(wù)以互聯(lián)網(wǎng)數(shù)據(jù)中心、云計算、人 工智能、軟件開發(fā)、安全服務(wù)“互聯(lián)網(wǎng)+”行業(yè)解決方案及行業(yè)應(yīng)用等相關(guān)業(yè)務(wù)。

售前咨詢熱線:400-996-8756

備案提交:0371-89913068

售后客服:0371-89913000

熱門活動

百度云服務(wù)中心
  • 熱門資訊
  • 隨便看看