mysql的管理与优化_mysql系统安全管理与优化

1. 禁止MySql以管理员账号权限运行

MySql应该使用非管理员账号运行,以普通账户安全运行mysqld

加固方法:在my.cnf配置文件中配置user=mysql

2. 设置root用户口令并修改登录名,且不存在空密码账户修改root用户密码,在MySql控制台中执行:> set password for 'root'@'localhost'=password('new_password');

#实际操作中,只需将上面new_password换成实际的口令即可为了更有效的改进root用户的安全性,就是为其改名。需要更新表用户中的mysql数据库。在控制台中执行:> use mysql;

> update user set user="another_username" where user="root";

> flush privileges;

然后,可用通过$ mysql -u another_username -p 访问mysql控制台了。数据库中所有用户都应该配置密码,通过以下语句可以查询是否有空密码账户:> select * from mysql.user where user="";

3. 配置合适的密码强度,最长使用期限小于90天数据库用户Miami复杂性包括长度、大小写和特殊字符。

加固方法:添加以下配置行到全局配置plugin-load = validate_password.so        #加载密码强度验证插件

validate_password_length = 14             #密码长度最小为14,默认为8

validate_password_mixed_case_count = 1    #至少包含的小写字母个数和大写字母个数

validate_password_number_count = 1        #至少包含的数字个数

validate_password_special_char_count = 1  #至少包含的特殊字符个数

validate_password_policy = MEDIUM         #密码强度等级,有三种:0/LOW、1/MEDIUM、2/STRONG,默认为MEDIUM

关于密码强度的三种等级,要求如下:Policy                 Tests Performed

0 or LOW               Length

1 or MEDIUM            Length; numeric, lowercase/uppercase, and special characters

2 or STRONG            Length; numeric, lowercase/uppercase, and special characters; dictionary file用户密码过期时间小于90天,在控制台执行:> set global default_password_lifetime=90;

4. 降低用户的数据库特权,只有管理员有完整的数据库访问权限MySql数据库中mysql.user和mysql.db表列出了可以授权(或拒绝)给mysql用户的各种权限,通常,这些特权不应该对每个mysql用户都可用,而且通常只保留给管理员用户。

加固方法:审计每项特权授予的用户,对于非管理用户,使用revoke语句来适当删除权限。# mysql.user表中的特权有:

file_priv:表示是否允许用户读取数据库所在主机的本地文件;

Process:表示是否允许用户查询所有用户的命令执行信息;

Super_priv:表示用户是否有设置全局变量,管理员调试等高级别权限;

Shutdown_priv:表示用户是否可以关闭数据库;

Create_user_priv:表示用户是否可以创建或删除其他用户;

Grant_priv:表示用户是否可以修改其他用户权限

查询正在执行的sql语句:> show processlist;

# 或者

> use information_schema;

> select * from PROCESSLIST where info is not null;

使用如下命令查看拥有对应权限的数据库账号:select host,user from mysql.user where File_priv='Y';

如果存在非管理员用户,使用如下命令进行权限回收:revoke file on *.* from 'mysql';

5. 禁止或限制远程访问,确保特定主机才拥有访问权限> grant all on *.* to 'root'@'%';上面这个授权,允许root用在所有主机上对数据库的所有执行权限,要限制特定主机可以采用:> grant all on *.* to 'root'@'localhost';

> grant all on *.* to 'root'@'hostname_ip'; #可以是ip或者主机名

如果,要取消在某台主机上的访问权限,可以采用:> revoke all on *.* from 'root'@'hostname_ip';

如果,只授权部分权限,可以采用:> grant select on mydb.* to 'someuser'@'hostname_ip';

6. 配置MySql日志便于审计

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值