mysql 防攻击_mysql8 参考手册--使MySQL防范攻击者确保安全

连接到MySQL服务器时，应使用密码。密码不会以明文形式通过连接传输。

所有其他信息均以文本形式传输，任何能够查看连接的人都可以阅读。如果客户端和服务器之间的连接通过不受信任的网络，并且您对此感到担心，则可以使用压缩协议使通信更难以解密。您还可以使用MySQL的内部SSL支持来使连接更加安全。请参见 第6.3节“使用加密的连接”。或者，使用SSH获取MySQL服务器和MySQL客户端之间的加密TCP / IP连接。您可以在http://www.openssh.org/上找到一个开源SSH客户端，并在下面可以找到开源SSH 和商业SSH客户端的比较。 http://en.wikipedia.org/wiki/Comparison_of_SSH_clients。

为了使MySQL系统安全，您应该强烈考虑以下建议：

要求所有MySQL帐户都具有密码。客户程序不一定知道运行它的人的身份。对于客户端/服务器应用程序，用户通常可以为客户端程序指定任何用户名。例如，任何人都可以使用mysql程序的 mysql -u other_user db_name与其他任何人进行连接，只需简单地调用它就 好像 没有密码一样。如果所有帐户都具有密码，则使用其他用户的帐户进行连接将变得更加困难。

确保数据库目录中唯一具有读取或写入特权的Unix用户帐户是用于运行mysqld的帐户。

切勿以Unix root 用户身份运行MySQL服务器。这是非常危险的，因为具有该FILE特权的任何用户 都可以使服务器创建文件root(例如~root/.bashrc)。为避免这种情况， 除非使用 root--user=root选项明确指定，否则mysqld拒绝运行 。

mysqld可以(并且应该)以普通，无特权的用户身份运行。您可以创建一个单独的Unix帐户，以mysql使一切变得更加安全。仅将此帐户用于管理MySQL。要以另一个Unix用户身份启动 mysqld，请在用于指定服务器选项的my.cnf选项文件组 [mysqld]中 添加一个user用于指定用户名的选项。例如：

[mysqld]

user=mysql

无论您手动启动服务器还是使用mysqld_safe或 mysql.server，它都会以指定用户身份启动服务器 。有关更多详细信息，请参见 第6.1.5节“如何以普通用户身份运行MySQL”。

以非Unix用户身份 运行mysqldroot并不意味着您需要更改表中的root用户名 user。MySQL帐户的用户名与Unix帐户的用户名无关。

不要将FILE特权授予非管理用户。拥有此特权的任何用户都可以使用mysqld守护程序的特权在文件系统中的任何位置写入文件。这包括服务器的数据目录，该目录包含实现特权表的文件。为了使 FILE-privilege操作更加安全，使用生成的文件 SELECT ... INTO OUTFILE不会覆盖现有文件，并且每个人都可以写入。

该FILE特权还可以用于读取服务器可读的世界上可读的文件或Unix用户可以访问的任何文件。拥有此特权，您可以将任何文件读入数据库表。例如，可以使用LOAD DATA加载/etc/passwd到表中，然后将其显示为来滥用它 SELECT。

要限制文件的读写位置，请将secure_file_priv 系统设置为特定目录。请参见 第5.1.8节“服务器系统变量”。

加密二进制日志文件和中继日志文件。加密有助于保护这些文件和其中包含的潜在敏感数据，以防止外部攻击者滥用这些文件以及存储文件的操作系统的用户未经授权的查看。通过将binlog_encryption系统变量设置为，可以在MySQL服务器上启用加密 ON。

不要将PROCESS或 SUPER特权授予非管理用户。的输出中mysqladmin的processlist并SHOW PROCESSLIST显示正在执行当前的任何陈述文字，所以谁被允许查看服务器进程列表可能能够查看其他用户发表声明，任何用户。

mysqld为具有CONNECTION_ADMIN或 SUPER特权的用户保留了一个额外的连接 ，以便MySQLroot用户即使所有正常连接都在使用中也可以登录并检查服务器活动。

该SUPER特权可用于终止客户端连接，通过更改系统变量的值来更改服务器操作以及控制复制服务器。

不允许使用符号链接到表。(此功能可通过禁用 --skip-symbolic-links 选项。)如果您运行，这一点尤其重要 的mysqld为root，因为具有对服务器的数据目录的写访问，则任何人都可以在系统中删除任何文件！请参见 第8.12.2.2节“在Unix上为MyISAM表使用符号链接”。

应使用第24.6节“存储的对象访问控制”中讨论的安全性准则来编写存储的程序和视图 。

如果您不信任DNS，则应在授予表中使用IP地址而不是主机名。无论如何，您应该非常小心地使用包含通配符的主机名值创建授权表条目。

如果要限制单个帐户允许的连接数，可以通过max_user_connections在mysqld中设置 变量来限制。该CREATE USER和ALTER USER 语句也支持资源控制选项来限制服务器使用的允许的范围内的账户。

如果插件目录是服务器可写的，则用户可能会使用将可执行代码写入目录中的文件SELECT ... INTO DUMPFILE。可以通过使plugin_dir服务器只读或将secure_file_priv目录设置 为SELECT可以安全进行写操作的目录来防止这种情况 。