在實際生產(chǎn)環(huán)境中，應按照軟件安全設計的「最小特權原則」設置MySQL的文件權限。

• MySQL「安裝目錄」的屬主和屬組需要設置成mysql用戶；
• MySQL的「歷史操作文件」、「歷史命令文件」、「數(shù)據(jù)物理存儲文件」只給屬主用戶讀寫權限；
• MySQL的「配置文件」只給屬主用戶讀寫權限，屬組和其他用戶給只讀權限。

依次執(zhí)行下列命令，檢查權限是否符合要求：

• ll ~/.mysql_history ~/.bash_history 權限600
• ll /etc/my.cnf 權限644
• find / -name *.ibd | xargs ls -al 權限600
• find / -name *.MYD | xargs ls -al 權限600
• find / -name *.MYI| xargs ls -al 權限600
• find / -name *.frm| xargs ls -al 權限600

接下來給大家解釋一下這些文件都是干嘛的。

1、數(shù)據(jù)庫配置文件

/etc/my.cnf 是MySQL數(shù)據(jù)庫「配置文件」，為了防止未授權篡改，應設置權限為 644。

ll /etc/my.cnf 檢查配置文件權限：

/etc/my.cnf 默認有以下字段：

• datadir：數(shù)據(jù)庫目錄
• socket：MySQL客戶端程序與服務端通信的套接字文件
• log-error：日志位置
• pid-file：存放MySQL進程id的文件

2、數(shù)據(jù)存儲文件

MySQL每創(chuàng)建一個「表」，都會在數(shù)據(jù)庫目錄下創(chuàng)建一個「二進制文件」，用來存儲表中的「數(shù)據(jù)」。

下圖中可以看到，除了information_schema 和 performance_schema ，每個數(shù)據(jù)庫都對應一個目錄，目錄下存放這個數(shù)據(jù)庫的表文件。

MySQL8.0以前，數(shù)據(jù)存儲文件統(tǒng)一用 .frm 擴展名。

MySQL8.0以后，不同的數(shù)據(jù)庫引擎，保存文件的擴展名不一樣。

• InnoDB：獨享表空間用 .idb，一個表對應一個文件；共享表空間用 .ibdata，多個表公用一個文件。
• MyISAM：表的數(shù)據(jù)用 .MYD；表的索引用 .MYI。
• Archive： .arc
• CSV： .csv

查看支持的引擎 show engines;，default表示默認，正在使用的引擎。

為了防止未授權訪問和篡改，數(shù)據(jù)存儲文件的權限應配置為 600。

檢查數(shù)據(jù)庫文件的權限：

• find / -name *.ibd | xargs ls -al
• find / -name *.MYD | xargs ls -al
• find / -name *.MYI| xargs ls -al
• find / -name *.frm| xargs ls -al

3、歷史操作文件

~/.mysql_history 和 ~/.bash_history 分別存儲MySQL「歷史操作命令」和「系統(tǒng)歷史命令」。

為了防止未授權訪問和篡改，應將文件權限配置為 600。

ll ~/.mysql_history ~/.bash_history

以上就是MySQL文件權限存在的安全問題和解決方案的詳細內(nèi)容，更多關于MySQL文件權限的資料請關注腳本之家其它相關文章！

最新評論