站長資訊網(wǎng)
千萬級數(shù)據(jù)并發(fā)如何處理?進(jìn)入學(xué)習(xí)
長期以來,數(shù)據(jù)庫一直是你的平衡架構(gòu)的重要組成部分,并且可以說是最重要的部分。如今,壓力已經(jīng)朝向你的大部分一次性和無狀態(tài)的基礎(chǔ)設(shè)施,這給你的數(shù)據(jù)庫帶來了更大的負(fù)擔(dān),既要可靠又安全,因?yàn)樗衅渌?wù)器不可避免地會(huì)連同其余數(shù)據(jù)一起在數(shù)據(jù)庫中存儲(chǔ)有狀態(tài)信息。
你的數(shù)據(jù)庫是每個(gè)攻擊者想要獲取的大獎(jiǎng)。隨著攻擊變得更加復(fù)雜和網(wǎng)絡(luò)變得更加敵對,采取額外步驟來強(qiáng)化數(shù)據(jù)庫比以往任何時(shí)候都更加重要。
MySQL 因其速度和整體易用性而成為開發(fā)人員和管理員最受歡迎和喜愛的數(shù)據(jù)庫。不幸的是,這種易用性是以犧牲安全為代價(jià)的。即使 MySQL 可以配置有嚴(yán)格的安全控制,你的普通默認(rèn) MySQL 配置可能不會(huì)使用它們。在本文中,我將介紹強(qiáng)化 MySQL 數(shù)據(jù)庫應(yīng)采取的五個(gè)重要步驟。
第一步:設(shè)置強(qiáng)密碼
對于所有數(shù)據(jù)庫用戶來說,使用強(qiáng)密碼很重要。鑒于大多數(shù)人不會(huì)經(jīng)常手動(dòng)登錄數(shù)據(jù)庫,請使用密碼管理器或命令行工具 pwgen 為你的數(shù)據(jù)庫帳戶創(chuàng)建一個(gè)隨機(jī)的 20 個(gè)字符的密碼。即使你使用額外的 MySQL 訪問控制來限制特定帳戶可以登錄的位置(例如將帳戶嚴(yán)格限制為 localhost),這依然很重要。
設(shè)置密碼的最重要的 MySQL 帳戶是 root 用戶。默認(rèn)情況下,在許多系統(tǒng)中,該用戶沒有密碼。特別是,基于 Red Hat 的系統(tǒng)在安裝 MySQL 時(shí)不會(huì)設(shè)置密碼;雖然基于 Debian 的系統(tǒng)會(huì)在交互式安裝期間提示您輸入密碼,但非交互式安裝(就像您可能使用配置管理器執(zhí)行的那樣)會(huì)跳過它。此外,你仍然可以在交互式安裝期間跳過設(shè)置密碼。
你可能認(rèn)為讓 root 用戶不輸入密碼并不是什么大的安全風(fēng)險(xiǎn)。畢竟,用戶設(shè)置為 “root@localhost”,你可能認(rèn)為這意味著你必須先 root 計(jì)算機(jī),然后才能成為該用戶。不幸的是,這意味著任何可以從 localhost 觸發(fā) MySQL 客戶端的用戶都可以使用以下命令以 MySQL root 用戶身份登錄:
*$ mysql — user root*
因此,如果你不為 root 用戶設(shè)置密碼,那么任何能夠在您的 MySQL 機(jī)器上獲得本地 shell 的人現(xiàn)在都可以完全控制你的數(shù)據(jù)庫。
要修復(fù)此漏洞,請使用 mysqladmin 命令為 root 用戶設(shè)置密碼:
$ sudo mysqladmin password
不幸的是,MySQL 以 root 用戶身份運(yùn)行后臺(tái)任務(wù)。一旦你設(shè)置了密碼,這些任務(wù)就會(huì)中斷,除非采取額外的步驟將密碼硬編碼到 /root/.my.cnf 文件中:
[mysqladmin] user = rootpassword = yourpassword
但是,這意味著你必須將密碼以純文本形式存儲(chǔ)在主機(jī)上。但是你至少可以使用 Unix 文件權(quán)限將對該文件的訪問限制為僅 root 用戶:
sudo chown root:root /root/.my.cnf sudo chmod 0600 /root/.my.cnf
第二步:刪除匿名用戶
匿名帳戶是既沒有用戶名也沒有密碼的 MySQL 帳戶。你不希望攻擊者在沒有密碼的情況下對你的數(shù)據(jù)庫進(jìn)行任何形式的訪問,因此請?jiān)诖嗣畹妮敵鲋胁檎沂褂每瞻子脩裘涗浀娜魏?MySQL 用戶:
> SELECT Host, User FROM mysql.user; + — — — — — — — — — — — — + — — — -+ | Host | User | + — — — — — — — — — — — — + — — — -+ | 127.0.0.1 | root | | ::1 | root | | localhost | | | localhost | root | + — — — — — — — — — — — — + — — — -+ 4 rows in set (0.00 sec)
在這些根用戶中間有一個(gè)匿名用戶( localhost ),它在 User 列中為空。你可以使用下面命令清除特定的匿名用戶:
> drop user ""@"localhost"; > flush privileges;
如果你發(fā)現(xiàn)任何其他匿名用戶,請確保將其刪除。
第三步:遵循最小特權(quán)原則
最小特權(quán)原則是一項(xiàng)安全原則,可以總結(jié)如下:
只為賬戶提供執(zhí)行作業(yè)所需的訪問權(quán)限,而不提供
