mysql 生产环境 权限_MySQL生产环境安全规范

最新推荐文章于 2023-03-28 08:18:34 发布
最新推荐文章于 2023-03-28 08:18:34 发布
阅读量462 收藏 3
点赞数
文章标签: mysql 生产环境 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36328210/article/details/113299193
版权

一、Mysql服务器安全规范

1. 禁止应用直连DB,一般通过代理访问

2. 禁止DB公网访问。

3. 禁止生产和办公互通,需生产环境和办公环境隔离。

4. Linux系统初始化安全选项:

1)、一些alias,写入/etc/profile,防止误操作

alias c='clear'

alias cp='cp -i'

alias l.='ls -d .* --color=auto'

alias ll='ls -l --color=auto'

alias ls='ls --color=auto'

alias mv='mv -i'

alias rm='rm -i'

alias mysql='mysql -U'

其中mysql -U,防止update和delete没有指定条件,拒绝操作。

2)、删除linux操作日志信息、mysql操作历史记录,避免被***。

rm .bash_history .mysql_history

ln -s /dev/null .bash_history

ln -s /dev/null .mysql_history

3)、避免"Too many open files"

OS限制:cat /etc/security/limits.conf,mysql用户能够打开65535个文件描述符

mysql soft nofile 65535

mysql hard nofile 65535

my.cnf参数修改:

open_files_limit = 65535

innodb_open_files=65535

5. Mysql初始化配置安全选项:

1)、合理规划目录结构,日志目录顺序写建议机械盘(binlog/slowlog/relaylog),数据目录随机写建议ssd。

2)、Mysql相关目录设置专用mysql组和用户,Mysql后台启动方式不能以root来启动,比如通过mysql用户 。

3)、设置bind-address为内网本机IP。

4)、修改Mysql默认服务端口号,不推荐使用3306,不同业务设置不同的端口号。

5)、通过修改max_connections和max_user_connections来控制最大连接数,过载保护。

6)、启用safe-user-create,用户不能用GRANT语句创建新用户,除非用户有mysql.user表的INSERT权限。

7)、禁止local-infile=1,打开load data local file权限,避免数据泄漏和******。

8)、禁止skip-grant-tables启动,防止mysql绕过权限系统

9)、配置加上skip-name-resolve,防止主机名不被解析。

10)、禁止skip-networking,其它机器不能使用tcp/ip连接。

11)、禁止symbolic-links=1,关闭软链接功能。

二、Mysql帐号管理安全策略和Mysql权限相关的系统表:

1. mysql.USER表

2. mysql.DB表

3. mysql.TABLES_PRIV表

4. mysql.COLUMNS_PRIV表

自上而下,逐级验证,逐级进行账户权限的粒度控制

Mysql初始化:

1. 删除线上密码长度小于16的帐号。

2. 删除非root账户

3. 删除非localhost和127.0.0.1账户。

4. 删除test数据库

5. 账号区分:监控帐号、管理帐号、复制帐号、备份帐号、应用帐号

1)、监控帐号(localhost和127.0.0.1):

GRANT SELECT,PROCESS,REPLICATION CLIENT

2)、备份帐号(localhost和127.0.0.1):

GRANT SELECT,LOCK TABLES,RELOAD

3)、复制帐号(对应主库ip):

GRANT REPLICATION SLAVE,REPLICATION CLIENT

4)、管理帐号(对应代理ip):

GRANT ALL PRIVILEGES

5)、root帐号

root密码采用强密码策略,至少32位随机密码,推荐使用pwgen和makepasswd来生成32位随机密码,包含大小写、数字、字母、特殊字符。

root帐号只授权localhost和127.0.0.1,不得授予%权限。

root帐号建议每3个月修改一次,不同实例,设置不同的root密码。

6)、应用帐号

a. 应用帐号不得拥有Super、Create、Drop、File,Grant,Reload,Shutdown,Process等权限。

b. 最小权限原则:select,insert,update,delete权限,禁止应用帐号权限设置为all。

c. 应用帐号不得拥有系统数据库(mysql)的任何权限,不能使用*.*来授权。

d. 应用帐号只给所属应用的数据库授权,只给其所属应用的IP或代理授权。

e. mysql从库必须添加read-only,只给select权限,严禁all,导致只读失效。

f. 应用帐号密码策略同root,建议每3个月修改一次。

三、Mysql数据安全策略

1. 物理(xtrabackup)和逻辑(mysqldump)相结合的备份策略,全备+增量+异地。

2. 数据库备份文件定期回放,定期验证备份的可恢复性。

3. 针对重要业务系统建立delay数据库或者采取Linux初始化时设置lvm策略,可快照闪回。

4. 假设Binlog Server,遇到紧急情况可数据恢复。

PS:Mysql命令行提示配置

mysql -uroot -p123456 --prompt="Mysql-\\v->[\\r:\\m:\\s] [\\u@\\h:\\d] >"

苏西苏西
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
系统安全配置技术规范-MySQL(基线加固)
05-28
人工评估(手工检查)是对工具评估的一种补充, 它不需要在被评估目标系统上安装任何软件,对目标系统的运行和状态没有任何影响,在不允许安装软件进行检查的重要主机上显得非常有用。安全专家对各主机系统、服务器、业务系统、数据库以及各种应用服务器在内的目标系统进行人工评估。
MySQL生产环境安全规范
weixin_34310369的博客
11-30 317
一、Mysql服务器安全规范1. 禁止应用直连DB,一般通过代理访问2. 禁止DB公网访问。3. 禁止生产和办公互通,需生产环境和办公环境隔离。4. Linux系统初始化安全选项:1)、一些alias,写入/etc/profile,防止误操作alias c='clear'alias cp='cp -i'...
mysql数据库安全配置规范_详细讲解MySQL数据库中的安全配置步骤
weixin_29305313的博客
02-28 247
mysql> desc db;+-----------------+-----------------+------+-----+---------+-------+| Field | Type | Null | Key | Default | Extra |+-----------------+-----------------+------+-----+---------+-------...
MySQL 规范
爱是与世界平行
04-11 397
基础规范 字符集 禁用存储过程、触发器、视图、Event 禁止存储大文件 禁止在线上压测 各环境数据库源隔离 架构设计 读写分离 分库分表 热点数据 雪崩 读写优化 表设计 控制单实例表个数 控制单表分表个数 控制单表数据量 控制单表字段个数 必须要有主键 SQL规范 DDL规范 DML规范 DQL规范 编码规范 字段设计 索引设计 版本:MySQL 5.7 ...
mysql保证数据的安全
beiduofen2011的专栏
04-08 1983
mysql 是日志先行的原则,在操作一条数据的时候,就会把旧数据插入undolog 在事务提交的时候,会把最新的数据保存在redolog表中 在事务提交之后,如果开启了binlog,则会把sql或者数据的前后变化保存在binlog中 undo.log和redo.log保证了数据的一致性,保证了数据库的安全 持久性:持久性意味着当系统或介质发生故障时,确保已提交事务的更新不能丢失。即一旦一个事务提交,DBMS保证它对数据库中数据的改变应该是永久性的,耐得住任何数据库系统故障。持久性通过数据库.
MySQL 开发规范【X千万/表级别】
12-14
十 、MySQL 开发规范手册【权限控制】 一、MySQL 开发规范概述 原则:SQL开发规范制定是基于良好的编码习惯和可读性;目的:消除冗余,数据简约,提高效率,提高安全;范围:《SQL开发规范手册》 二、MySQL
MySQL基础PDF版
05-16
包含: 1.数据库概述 2.MySQL数据操作 3.数据库三大约束 4. 常用函数 5.事务 6.视图 7.索引 8.权限管理 9.规范化数据库设计
MySQL 开发详尽教程
05-30
在安装与配置部分,详细介绍了不同操作系统(Windows、MacOS 和 Linux)上的安装步骤和配置技巧,帮助用户顺利搭建 MySQL 环境。接着,通过基本操作章节,用户能够学会启动和停止 MySQL 服务以及使用命令行工具和 ...
超详细MySQL使用规范分享
12-14
最近涉及数据库相关操作较多,公司现有规范也不是太全面,就根据网上各路大神...重点的问题,各个环境的mysql服务器对应的用户权限,一定要做到权限划分明确,有辨识度,能具体区分业务场景等。 命名规范 基本命名规则
数据库(MySQL)课程设计
最新发布
06-04
- 确定系统的用户角色和权限需求。 - 编写需求分析文档,详细描述系统的需求和约束。 2. **概念结构设计**(ER模型设计): - 利用实体-关系(ER)模型来抽象化数据需求。 - 绘制ER图,定义实体、实体属性、实体...
mysql设计及使用规范
10-27
mysql设计及使用规范:一、 表设计;二、 索引【FAQ】;三、 SQL语句;四、 散表;五、 其他;六、个人总结及示例
MySQL 开发规范
08-17
MySQL 开发规范V1.0.pptx
死磕数据库系列(三十六)MySQL 开发设计规范、SQL 编写规范安全规范
民工哥的博客
03-28 268
点关注公众号,回复“1024”获取2TB学习资源!从第一篇文章开始,我们详细介绍了 MySQL 数据库的基础知识,如:数据类型、存储引擎、性能优化(软、硬及sql语句),后又详细介绍了 MySQL 数据库的高可用架构的部分,如:主从同步、读写分离的原理与实践、跨城容灾、数据的备份与恢复等,然后介绍了 MySQL 的管理命令、数据库语言的命令、库与表的管理工具、性能分析与工具的使用、MySQL数据...
mysql加强防御_关于加强MYSQL安全的几点建议
weixin_29774679的博客
01-19 77
通常我们在连接MySQL的服务器时,要使用到口令。这个口令在网络上传输的时候是加过密的。可是其它的内容都是以明文的方式来进行传输的。当然如果担心这个不安全的话,可以使用压缩协议(MySQL3.22和以上版本),这样可以让其它的内容不那么容易就被看到。甚至为了让它更加安全,可以考虑下安装ssh。装上它之后,你就能在MySQL服务器与MySQL客户之间,搭建一条加密的TCP/IP连接。为了使你的MyS...
生产环境的DB规范
weixin_30448603的博客
11-13 187
数据库创建表操作规范注意事项 1、ucr_shop 所有表建这个用户。建表的表空间为TBS_DAT.主键,外键以及索引等使表空间为TBS_IDX。如下建表的例子 -- Create table createtable UCR_SHOP.TEST_LINDW ( ORG_ID_TESTNUMBER(8)notnull ) tablespace TBS_DAT pctfree10...
mysql生产环境部署,创建用户,分配最少权限
Tom098的博客
01-18 674
具体请参考文档: ​​​​​​​​​​​​​​​​​​​​​Getting Started | Accessing data with MySQL 先创建用户,授予所有权限 mysql> create database db_example; -- Creates the new database mysql> create user 'springuser'@'%' identified by 'ThePassword'; -- Creates the user mysql> gr
mysql生产环境下的配置
把事情做到极致
06-02 2752
前言 mysql是目前主流的数据库系统,在linux下使用yum/apt安装mysql非常方便,且已经可以测试开发使用,但要放到生产环境下,就需要对mysql进行一些配置。本文以刚以yum/apt安装好的mysql为例,介绍如何配置才能应用于生产环境,主要作为个人备忘;因个人mysql的运维经验有限,所以如果有错误请不吝赐教。 ^_^ 正文 为root用户设定密码 默认安装的mysql只有
Linux学习总结(57)——生产环境用户权限管理规范
科技D人生
06-28 1963
一、问题现状 公司生产服务器通常上百台,甚至上千台上万台,操作人员很多(开发+运维+架构+DBA)。大家使用Linux服务器时,不同职能的员工水平不同,老手和新手员工熟知度不同,如果权限控制不当(如root权限泛滥),服务器的安全存在极大隐患。为此,运维人员一般有一套系统用户及权限标准规范。 二、标准规范 超级用户密码掌握在少数或者唯一的管理员手中,又希望多个系统管理员或相关权限的人员,能够完成更多更复杂的自身职能相关的工作,又不至于越权操作导致系统安全隐患。 最小原则 1、安装软件最小化 。
生产环境mysql_mysql生产环境常用命令
weixin_39846186的博客
01-18 127
唠唠mysql的连接数1.查看mysql的当前连接数[root@localhost ~]# mysqladmin -uroot -p123456 statusUptime:34070 Threads: 1 Questions: 8678 Slow queries: 0 Opens: 910 Flush tables: 43 Open tables: 4 Queries per sec...
mysql 规范 阿里
11-12
MySQL 规范是阿里巴巴在使用MySQL数据库时所遵循的一系列标准和最佳实践。MySQL规范在阿里巴巴内部被广泛应用,用于规范数据库设计、表结构、索引、存储过程、触发器、SQL编写等方面,旨在提高数据库的性能、可靠性和安全性。 首先,在数据库设计方面,MySQL规范要求对表结构进行合理的规划,包括选择合适的数据类型、设定适当的主键和索引、避免冗余字段和不必要的列。 其次,在SQL编写方面,MySQL规范要求编写高效的SQL语句,避免全表扫描和使用慢查询。同时,也要求格式化SQL语句,让代码易读易维护。 此外,在存储过程和触发器的编写过程中,MySQL规范要求编写清晰的文档,规范的命名和注释,确保团队内成员都能够理解和使用。 最后,对于安全性和备份恢复方面,MySQL规范要求对数据库进行定期备份,并实施权限管理和审计措施,保障数据的安全和完整性。 总之,MySQL规范是阿里巴巴数据库团队多年来的积累和总结,是一系列实践中得出的最佳经验和标准化流程,为数据库的设计、开发、运维提供了指导和保障。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值