【MySQL安全基线】- 在生成环境中使用注意事项

于 2024-10-11 23:15:00 发布
阅读量694 收藏 14
点赞数 15
分类专栏: 运维 Linux MySQL 文章标签: mysql 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37945670/article/details/142850891
版权
运维 同时被 3 个专栏收录
8 篇文章 0 订阅
订阅专栏
Linux
5 篇文章 0 订阅
订阅专栏
MySQL
4 篇文章 0 订阅
订阅专栏

在信息安全日益重要的今天,保护数据库的安全是保障系统稳定与数据安全的关键。MySQL 作为一种广泛使用的关系型数据库管理系统,存在多种安全隐患。本文将详细介绍 MySQL 的安全最佳实践,帮助用户有效降低风险。

1. 强化密码策略

弱口令

使用弱密码会极大增加被恶意猜解的风险,因此,必须立即对弱口令进行修复。

操作步骤:

-- 登录 MySQL 数据库
mysql -u root -p

-- 查看数据库用户及其密码信息
SELECT user, host, authentication_string FROM user; 
-- (部分版本使用的命令)
SELECT user, host, password FROM user; 

-- 修改用户密码,确保密码复杂性
SET PASSWORD FOR '用户名'@'主机' = PASSWORD('新密码');
FLUSH PRIVILEGES;

密码复杂性要求:

  • 长度 8 位以上。
  • 包含以下四类字符中的三类:
    • 大写字母 (A-Z)
    • 小写字母 (a-z)
    • 数字 (0-9)
    • 非字母字符 (!, $, #, %, @, ^, &)
  • 避免使用已知弱口令,如 abcd.1234admin@123 等。

目的

通过强密码策略,确保数据库用户的密码不易被猜测,从而降低系统被攻击的风险。

2. 修改默认端口

修改默认 3306 端口

使用熟知的端口会使数据库暴露于潜在的攻击中,因此应避免使用默认端口。

操作步骤:

  1. 编辑 MySQL 配置文件 <conf_path>/my.cnf
  2. [mysqld] 段落中添加或修改:
    port=3506
  3. 重启 MySQL 服务。

目的

更改默认端口可以有效降低初级扫描和暴力破解的风险。

3. 禁用危险选项

禁用 local-infile 选项

此选项允许 MySQL 读取客户端本地文件,可能导致敏感数据泄露。

操作步骤:

  1. 编辑 MySQL 配置文件 <conf_path>/my.cnf
  2. [mysqld] 段落中添加:
    local-infile=0
  3. 重启 MySQL 服务。

目的

通过禁用该选项,降低攻击者利用 SQL 注入漏洞读取敏感文件的能力。

禁用 symbolic-links 选项

禁用符号链接可以防止潜在的安全风险。

操作步骤:

  1. 在 MySQL 配置文件 <conf_path>/my.cnf 中设置:
    symbolic-links=0
    对于 5.6 及以上版本,使用:
    skip_symbolic-links=yes
  2. 重启 MySQL 服务。

目的

确保 MySQL 不会遭受通过符号链接导致的文件系统攻击。

4. 环境变量安全

确保 MYSQL_PWD 环境变量未设置

MYSQL_PWD 环境变量的使用意味着 MySQL 凭证的明文存储,极大增加凭据泄露风险。

操作步骤:

  1. 检查环境变量:
    echo $MYSQL_PWD
  2. 查找可能存在该变量的配置文件:
    grep -ir MYSQL_PWD ~/.bashrc ~/.bash_profile ~/.bash_login ~/.profile /etc/bash.bashrc /etc/profile /etc/profile.d/*

目的

确保 MySQL 密码不会以明文形式暴露在环境变量中,从而增强安全性。

5. 最小权限原则

为 MySQL 服务使用专用的最低特权账户

使用最低权限账户运行服务可以减小 MySQL 漏洞的影响。

操作步骤:

  1. 使用非 root 用户启动 MySQL 服务。
  2. 创建一个新的低权限用户并授予 MySQL 相关权限。

目的

限制 MySQL 服务的访问范围,确保即使出现漏洞也能减少损失。

6. 启用权限检查

禁止使用 --skip-grant-tables 选项

使用此选项将导致所有客户端对所有数据库具有不受限制的访问权限。

操作步骤:

  1. 编辑 MySQL 配置文件 <conf_path>/my.cnf
  2. 确保未设置 skip-grant-tables 参数。
  3. 重启 MySQL 服务。

目的

确保数据库的访问控制正常工作,防止未授权访问。

7. 清理无用数据库

删除 ‘test’ 数据库

默认的 test 数据库可以供所有用户访问,可能会消耗系统资源。

操作步骤:

DROP DATABASE test;
FLUSH PRIVILEGES;

目的

减少攻击面,防止潜在的资源滥用。

8. 匿名账户管理

匿名登录检查

检查 MySQL 服务是否允许匿名登录。

操作步骤:

  1. 检查数据库中是否存在密码为空的用户:
    SELECT user, host, authentication_string, plugin FROM mysql.user;
  2. 为匿名账户设置密码或删除该账户:
    DELETE FROM mysql.user WHERE user='';
FLUSH PRIVILEGES;

目的

消除匿名登录可能带来的安全隐患,确保只有合法用户能够访问数据库。

9. 版本管理

版本安全漏洞

以下版本存在安全漏洞,容易被入侵:

  1. MySQL 5.6.35 以下和 5.7.17 以下版本存在远程安全漏洞 详细信息
  2. 5.1.63 之前、5.5.24 之前、5.6.6 之前版本均存在身份认证绕过漏洞 详细信息
  3. 5.5.52 及之前版本、5.6.x 至 5.6.33、5.7.x 至 5.7.15 版本均存在远程代码执行漏洞 详细信息

建议

及时升级到最新的 MySQL 版本,确保系统安全。

10. 日志管理

配置错误日志

启用错误日志可以帮助检测针对 MySQL 的恶意尝试。

操作步骤:

  1. 在 MySQL 配置文件 <conf_path>/my.cnf[mysqld_safe] 段落中添加:
    log-error=<log_path>
    例如:
    log-error=/var/log/mysqld.log
  2. 重启 MySQL 服务。
XuanRanDev
关注
专栏目录
压测瓶颈在mysql_MySQL的性能基线收集及压力测试
weixin_39858245的博客
01-30 133
建立基线的作用:计算机科学基线是项目储存库每个工件版本在特定时期的一个“快照”。比如我们现在有并发事物,那么在某时刻发起一个事物会产生当前数据的快照,那么这个快照就相当理解为一个基线,那么所谓的性能数据的基线就是正常数据收集后的一段时间或者业务数据的负载,将它提供一个正式标准,随后的工作基于此标准,并且只有经过授权后才能变更这个标准。建立一个初始基线后,以后每次对其进行的变更都将记录为一个差...
压测瓶颈在mysql_数据库MySQL的性能基线收集及压力测试
weixin_34006342的博客
01-19 335
建立基线的作用:计算机科学基线是项目储存库每个工件版本在特定时期的一个“快照”。比如我们现在有并发事物,那么在某时刻发起一个事物会产生当前数据的快照,那么这个快照就相当理解为一个基线,那么所谓的性能数据的基线就是正常数据收集后的一段时间或者业务数据的负载,将它提供一个正式标准,随后的工作基于此标准,并且只有经过授权后才能变更这个标准。建立一个初始基线后,以后每次对其进行的变更都将记录为一个差...
2022-01-27 使用liquibase管理mysql执行版本
技术之路
01-27 2171
摘要: 产品的管控依赖的miniMysql, 管控在运行前, mysql需要执行一些必要的sql语句, 一般为创建表结构和填充规格数据. 此前一直由开发人员将sql语句交给DBA手动执行, 人为执行非常容易引发错误. 是以设计sql的自动化执行的规则. 本文对其使用做说明。 本文包含两部分: 数据库语句自动化执行的工具说明 数据库sql语句的编写要点说明 数据库语句自动化执行的工具说明 需求说明: 方便快速构建和代码匹配的数据库结构 增量修改表结构,保持数据 重...
php mysql 压力测试_MySQL的性能基线收集及压力测试
weixin_34293510的博客
01-19 159
建立基线的作用: 计算机科学基线是项目储存库每个工件版本在特定时期的一个“快照”。 比如我们现在有并发事物,那么在某时刻发起一个事物会产生当前数据的快照,那么这个快照就相当理解为一个基线,那么所谓的性能数据的基线就是正常数据收集后的一建立基线的作用:计算机科学基线是项目储存库每个工件版本在特定时期的一个“快照”。比如我们现在有并发事物,那么在某时刻发起一个事物会产生当前数据的快照,那么...
数据库MySQL的性能基线收集及压力测试
韩小昱的专栏
04-05 2567
建立基线的作用: 计算机科学基线是项目储存库每个工件版本在特定时期的一个“快照”。 比如我们现在有并发事物,那么在某时刻发起一个事物会产生当前数据的快照,那么这个快照就相当理解为一个基线,那么所谓的性能数据的基线就是正常数据收集后的一段时间或者业务数据的负载,将它提供一个正式标准,随后的工作基于此标准,并且只有经过授权后才能变更这个标准。建立一个初始基线后,以后每次对其进行的变更都将
MySQL的性能基线收集及压力测试
weixin_33767813的博客
11-13 228
建立基线的作用: 计算机科学基线是项目储存库每个工件版本在特定时期的一个“快照”。 比如我们现在有并发事物,那么在某时刻发起一个事物会产生当前数据的快照,那么这个快照就相当理解为一个基线,那么所谓的性能数据的基线就是正常数据收集后的一段时间或者业务数据的负载,将它提供一个正式标准,随后的工作基于此标准,并且只有经过授权后才能变更这个标准。建立一个初...
MySQL数据库权限与安全设置详解
weixin_33939843的博客
01-04 691
MySQL目录权限与安全设置详解一.权限表mysql数据库的3个权限表:user 、db、 host权限表的存取过程是:1)先从user表的host、 user、 password这3个字段判断连接的IP、用户名、密码是否存在表,存在则通过身份验证;2) 通过权限验证,进行权限分配时,按照user?db?tables_priv?columns_priv的顺序进行分配。...
Mysql相关问题及答案
qq_43012298的博客
12-24 1441
聚簇索引:排序并存储表的数据行,表数据本身就是索引的一部分。非聚簇索引:包含对数据行的引用,它们与数据行分开存储。选择合适的索引类型取决于数据访问模式和应用性能要求。在一些数据库如SQL Server,聚簇索引和非聚簇索引是明确区分的。而在MySQL的InnoDB存储引擎,聚簇索引是根据主键自动创建的,并且所有非聚簇索引将包含主键列作为引用,因此非聚簇索引实际上包含了两次查找:一次查找非聚簇索引得到主键,再通过主键查找聚簇索引得到数据。8、什么是存储过程?
【《高性能 MySQL》摘录】第 8 章 优化服务器设置
影三人
02-28 1056
【《高性能 MySQL》摘录】第 8 章 优化服务器设置
springboot使用flyway数据迁移_数据库版本管理_辅助开发---springcloud工作笔记165
添柴程序猿的专栏
02-01 492
1介绍: 可以把这个flyway理解成一个,数据库的版本管理工具,想用的话可以用一下. https://flywaydb.org/ Flyway介绍 Flyway是独立于数据库的应用、管理并跟踪数据库变更的数据库版本管理工具。 用通俗的话讲,Flyway可以像Git管理不同人的代码那样,管理不同人的sql脚本,从而做到数据库同步。 Flyway的定位:数据库的版本控制。 用一种简单、干净的方案,帮助用户完成数据库迁移的工作。使用Flyway,用户可以从任意一个数据库版本迁移到最新版本,简.
MySQL数据库性能优化大总结
许少年的读书笔记
02-28 601
文章目录影响数据库服务器性能的因素大表导致的问题:大表解决方案:大事务导致的问题:大事务解决方案:影响性能的几个因素1. CPU资源和可用内存资源2. 磁盘的配置和选择3. 网络的配置和选择4. 操作系统对性能的影响5. 文件系统对性能的影响6. Mysql体系结构7. 如何选择存储引擎?8. Mysql服务器参数MySQL基准测试基准测试的目的:基准测试的方法:常见的测试指标:基准测试容易忽略...
性能测试-基础+级(一)【概述+流程+工具+模型+mysql事务】
hyhrosewind
10-18 568
性能测试定义性能测试在软件的质量保证起着重要的作用,它包括的测试内容丰富多样。国软件评测心将性能测试概括为三个方面:应用在客户端性能的测试、应用在网络上性能的测试和应用在服务器端性能的测试。通常情况下,三方面有效、合理的结合,可以达到对系统性能全面的分析和瓶颈的预测。性能测试:是通过自动化测试工具模拟多种正常、峰值以及异常负载条件来对系统的各种性能指标进行测试。通常,性能测试需要借助工具来实现;性能测试除了关注普通的正常的情况外,还重点关注空间和时间上的很多峰值或异常的系统运行情况;
模糊测试--强制性安全漏洞发掘
热门推荐
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
HCIE-Cloud题库
stqer的博客
08-09 3853
⒉.使用华为BCManagerbAckup进行数据备份并采用LAN-Free组网模式,当用户备份一台虚拟机时,生产存储会执行什么操作?A.向备份存储发送备份数据(正确答案)B.向备份服务器发送备份数据C.向虚拟化环境发送备份数据D.向备份代理发送备份数据4.FusionCompute与FusionSphereOpenStack对接的,FusionCompute的管理网络必须与FusionSphereOpenStack的哪个网络互通?A.external om(正确答案).........
MySQL 09】表的内外连接
2301_76618602的博客
10-05 993
但是从上表可以看出,并不是每个学生都有成绩,但是我们也是要把没有成绩的学生也显示出来。由于员工名字在emp,部门名称在dept,因此我们需要对两表先做笛卡尔积,形成一张大的表,再从大的表筛选出符合条件的。对stu表和exam表联合查询,把所有的成绩都显示出来,即使这个成绩没有学生与它对应,也要显示出来。我们理解了左外连接,那么右外连接也就能理解了,就是以右表为主,左边表没有符合条件的,那么就填NULL。可见内连接,只显示两表交集部分,因为只有1号和2号学生才有成绩,所以只显示1,2。
MySQL(B站CodeWithMosh)——2024.10.10(13)
最新发布
unicorn_lemon的博客
10-10 1168
运算符:LENGTH、UPPER、LOWER、LTRIM、RTRIM、SUBSTRING、LOCATE、REPLACE、CONCAT、NOW、CURDATE、YEAR、MONTH、DAY、HOUR、MINUTE、SECOND、DAYNAME、EXTRACT、DATE_FORM、DATE_ADD、INTERVAL、IFNULL、COALESCE、IF
构建MySQL健康检查Web应用
weixin_40539956的博客
10-08 1134
在这里将探讨如何将MySQL健康检查功能转换为一个功能完整的Web应用。这个应用允许用户通过简单的Web界面执行MySQL健康检查,并查看详细的结果。我们将逐步介绍代码实现、改进过程以及如何设置和运行这个应用。
MySQL(B站CodeWithMosh)——2024.10.6(9)
unicorn_lemon的博客
10-06 1310
运算符:DELETE FROM、MAX、MIN、AVG、SUM、COUNT、GROUP BY
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值