沙龙晃荡 | 去哪儿、陌陌、ThoughtWorks在主动化运维中的实践!10.28不见不散!
数据安然是如今互联网安然异常重要一个环节。并且一旦数据出现问题是弗成逆的,甚至是灾害性的。
这里用户,指的是数据库里的用户。
想说的是,任何一个节点都不是零丁存在的。
场景
3、角色:operate。权限:许可修改表构造,许可新增和修改表,不许可删除表,不许可删库。场景:产品要宣布的时刻才可以应用,经由过程进级sql方法履行。
1、确保应用本身安然。
2、控制体系用户对数据库的拜访权限。
3、控制数据库用户对数据库的拜访权限。
4、确保数据库敏感数据的安然。
5、确保数据库全部数据的完全性。
6、规范日常运维操作
7、合理的划分营业。
解决筹划
应用安然
删除默认的数据库和用户
mysql初始化后会主动生抽空用户和test库,这会对数据库构成威逼,我们全部删除。mysql>dropdatabasetest;
mysql> use mysql;
mysql> deletefromdb;
mysql> deletefromuserwherenot(host=”localhost”anduser=”root”);
mysql> flush privileges;
禁止数据库大年夜本地直接加载内容
在某些情况下,LOCAL INFILE敕令可被用于拜访操作体系上的其它文件(如/etc/passwd),应应用下现的敕令:mysql>LOADDATALOCALINFILE'/etc/passwd'INTOTABLEtable1
# 更简单的办法是:
mysql> SELECTload_file("/etc/passwd")
为禁用LOCAL INFILE敕令,应当在MySQL设备文件的[mysqld]部分增长下面的参数:set-variable=local-infile=0
控制用户的权限
控制拜访的ip。
只许可信赖的ip拜访,其他的ip都应当拒绝。
比如:只许可办公收集,还有营业办事器对应的收集可以拜访。
区分角色
区分角色,给不合的权限。角色的划分须要根据具体的应用处景。
下面简单举例:
这个也异常重要,往往就是因为不重要sql的优化,所以数据库对应的办事器资本吃满不供给办事。
1、角色:view。权限:只许可萌芽数据,不许可做任何修改。场景:营业精确性验证时
有一些防护办法应当在前面几个博文说过了,就不再赘述。比如经由过程防火墙控制,经由过程体系的用户控制,经由过程Web应用的┞菲握等。
经由过程不合的┞匪号操作,断定有没有对应的权限。
2、角色:update。权限:许可修改数据,然则不许可修改数据构造。场景:法度榜样运行
4、.....
加密敏感信息
要应用md5,sha等算法加密。如许即使数据损掉,也能削减损掉。比如:登录暗码,付出暗码等。
包管数据的完全性
2、须要备份与还原。
规范日常操作
1、如不雅没有特别需求,应当应用最小的用户。比如只应用查看的用户。
2、有须要修改数据或者构造的操作,可以推敲两人一路。或者可以推敲做成功能,削减工壮?居操作数据库。
3、在测试情况上测试OK,才往正式情况履行。
营业的划分
罕用数据库
可以经由过程缓存,静态化。尽可能少的应用数据库。能不应用数据库是最安然。
分库分表
敏感的数据和常用的数据,最好大年夜表的设计上隔离。比如:用户的详情信息和付出信息最好分开。
优化sql
验证办法
参考材料保障MySQL安然的十四个最佳办法
Mysql安然设备
《高机能MySql》
【编辑推荐】MySQL主大年夜复制的常用拓扑构造
详解MySQL基准测试和sysbench对象
这些特点,PostgreSQL秒杀其他数据库
推荐阅读
沙龙晃荡 | 去哪儿、陌陌、ThoughtWorks在主动化运维中的实践!10.28不见不散!
一、现场布线规范RS-485总线因>>>详细阅读
地址:http://www.17bianji.com/lsqh/38012.html