快捷導(dǎo)航

MySQL安全策略(MySQL安全注意事項(xiàng))

更新時(shí)間：2016年05月28日 19:42:25 投稿：mdxy-dxy

這篇文章主要介紹了MySQL安全策略(MySQL安全注意事項(xiàng)),需要的朋友可以參考下

導(dǎo)讀

MySQL被運(yùn)用于越來越多的業(yè)務(wù)中，在關(guān)鍵業(yè)務(wù)中對(duì)數(shù)據(jù)安全性的要求也更高，如何保證MySQL的數(shù)據(jù)安全？

數(shù)據(jù)安全如果只靠MySQL應(yīng)用層面顯然是不夠的，是需要在多個(gè)層面來保護(hù)的，包括網(wǎng)絡(luò)、系統(tǒng)、邏輯應(yīng)用層、數(shù)據(jù)庫(kù)層等。
下面是我們可借鑒的一些安全策略。

1、網(wǎng)絡(luò)、系統(tǒng)層面

在這個(gè)層面可以做很多的事情，我們可以把這些安全要求作為新系統(tǒng)安裝時(shí)的標(biāo)準(zhǔn)要求，放到自動(dòng)化裝機(jī)方案中。

把運(yùn)行MySQL的服務(wù)器放在內(nèi)網(wǎng)中，不要啟用公網(wǎng)；
迫不得已啟用公網(wǎng)的話，修改sshd端口到10000以上；
設(shè)置防火墻策略，只允許信任的服務(wù)器連接sshd和MySQL端口；

修改idrac/imm密碼，設(shè)置GRUB密碼；

設(shè)置密碼安全策略，比如要求 PASS_MIN_LEN 不低于8位，其實(shí)最好是直接用一個(gè)復(fù)雜密碼做MD5之后再作為正式密碼，32位長(zhǎng)度的安全程度夠高吧；

將操作日志記入syslog并且發(fā)送到遠(yuǎn)程log server上，堅(jiān)決不能只存儲(chǔ)在本地；

除了必須的賬號(hào)，其他的都設(shè)為無登入權(quán)限；

盡量把運(yùn)行MySQL的服務(wù)器獨(dú)立出來，不要和web server、app server放一起。必須放一起的話，也要設(shè)置好權(quán)限分離，不允許web server、app server進(jìn)程的屬主有直接訪問MySQL datadir的權(quán)限；

禁用web server層的autoindex配置；

可能的話，采用https代替http；

關(guān)鍵應(yīng)用保持更新，避免老版本的漏洞風(fēng)險(xiǎn)；

設(shè)置nginx、php等應(yīng)用服務(wù)的安全策略，禁用危險(xiǎn)函數(shù)等；

可以考慮購(gòu)買運(yùn)營(yíng)商提供的一些安全防護(hù)、掃描器等產(chǎn)品；

堅(jiān)決杜絕二逼行為，把關(guān)鍵配置文件上傳到公共網(wǎng)絡(luò)上（如把公司項(xiàng)目代碼放在github上作為個(gè)人項(xiàng)目，內(nèi)含內(nèi)網(wǎng)賬號(hào)密碼信息）。

2、邏輯應(yīng)用層

在這個(gè)層面，等多的是依賴運(yùn)營(yíng)及開發(fā)人員的安全意識(shí)，很多本可以避免的低級(jí)安全漏洞完全可以在這個(gè)層面處理掉，比如下面提到的XSS、CSRF、SQL注入等漏洞。
盡量不要在公網(wǎng)上使用開源的cms、blog、論壇等系統(tǒng)，除非做過代碼安全審計(jì)，或者事先做好安全策略。這類系統(tǒng)一般都是黑客重點(diǎn)研究對(duì)象，很容易被搞；

在web server層，可以用一些安全模塊，比如nginx的WAF模塊；

在app server層，可以做好代碼安全審計(jì)、安全掃描，防止XSS攻擊、CSRF攻擊、SQL注入、文件上傳攻擊、繞過cookie檢測(cè)等安全漏洞；

應(yīng)用程序中涉及賬號(hào)密碼的地方例如JDBC連接串配置，盡量把明文密碼采用加密方式存儲(chǔ)，再利用內(nèi)部私有的解密工具進(jìn)行反解密后再使用。或者可以讓應(yīng)用程序先用中間賬號(hào)連接proxy層，再由proxy連接MySQL，避免應(yīng)用層直連MySQL；

應(yīng)用層啟用關(guān)鍵日志記錄，例如交易日志，方便后續(xù)對(duì)賬什么的。

3、MySQL數(shù)據(jù)庫(kù)層

前面幾層如果都做的不夠安全的話，在這層也幾乎是岌岌可危了。但我們依然可以做些事情的。

啟用 safe-update 選項(xiàng)，避免沒有 WHERE 條件的全表數(shù)據(jù)被修改；

將 binlog 的保存周期加長(zhǎng)，便于后續(xù)的審計(jì)、審查；

應(yīng)用賬號(hào)只賦予SELECT、UPDATE、INSERT權(quán)限，取消DELETE權(quán)限。把需要DELETE權(quán)限的邏輯改成用UPDATE實(shí)現(xiàn)，避免被物理刪除；

需要真正刪除時(shí)，交由DBA先備份后再物理刪除；

可以采用Percona的SQL審計(jì)插件，據(jù)說還有macfee的插件；

還可以采用觸發(fā)器來做一些輔助功能，比如防止黑客惡意篡改數(shù)據(jù)。

4、后記

數(shù)據(jù)安全可以做的事情很多，本文也只是羅列了一些比較簡(jiǎn)單可快速實(shí)施的方案。每個(gè)企業(yè)應(yīng)有自己的安全策略規(guī)范，每一位參與者都應(yīng)該心懷敬畏，努力遵守這些必要的規(guī)范，不使信息安全成為空談。

真正的數(shù)據(jù)安全，是靠所有人的意識(shí)安全作為支撐的，沒有這個(gè)意識(shí)靠機(jī)制、制度、工具都是不靠譜。于