【必知必會(huì)】強(qiáng)化MySQL應(yīng)采取的五個(gè)重要安全技巧

千萬(wàn)級(jí)數(shù)據(jù)并發(fā)如何處理？進(jìn)入學(xué)習(xí)

長(zhǎng)期以來(lái)，數(shù)據(jù)庫(kù)一直是你的平衡架構(gòu)的重要組成部分，并且可以說(shuō)是最重要的部分。如今，壓力已經(jīng)朝向你的大部分一次性和無(wú)狀態(tài)的基礎(chǔ)設(shè)施，這給你的數(shù)據(jù)庫(kù)帶來(lái)了更大的負(fù)擔(dān)，既要可靠又安全，因?yàn)樗衅渌?wù)器不可避免地會(huì)連同其余數(shù)據(jù)一起在數(shù)據(jù)庫(kù)中存儲(chǔ)有狀態(tài)信息。

你的數(shù)據(jù)庫(kù)是每個(gè)攻擊者想要獲取的大獎(jiǎng)。隨著攻擊變得更加復(fù)雜和網(wǎng)絡(luò)變得更加敵對(duì)，采取額外步驟來(lái)強(qiáng)化數(shù)據(jù)庫(kù)比以往任何時(shí)候都更加重要。

MySQL 因其速度和整體易用性而成為開(kāi)發(fā)人員和管理員最受歡迎和喜愛(ài)的數(shù)據(jù)庫(kù)。不幸的是，這種易用性是以犧牲安全為代價(jià)的。即使 MySQL 可以配置有嚴(yán)格的安全控制，你的普通默認(rèn) MySQL 配置可能不會(huì)使用它們。在本文中，我將介紹強(qiáng)化 MySQL 數(shù)據(jù)庫(kù)應(yīng)采取的五個(gè)重要步驟。

第一步：設(shè)置強(qiáng)密碼

對(duì)于所有數(shù)據(jù)庫(kù)用戶來(lái)說(shuō)，使用強(qiáng)密碼很重要。鑒于大多數(shù)人不會(huì)經(jīng)常手動(dòng)登錄數(shù)據(jù)庫(kù)，請(qǐng)使用密碼管理器或命令行工具 pwgen 為你的數(shù)據(jù)庫(kù)帳戶創(chuàng)建一個(gè)隨機(jī)的 20 個(gè)字符的密碼。即使你使用額外的 MySQL 訪問(wèn)控制來(lái)限制特定帳戶可以登錄的位置（例如將帳戶嚴(yán)格限制為 localhost），這依然很重要。

設(shè)置密碼的最重要的 MySQL 帳戶是 root 用戶。默認(rèn)情況下，在許多系統(tǒng)中，該用戶沒(méi)有密碼。特別是，基于 Red Hat 的系統(tǒng)在安裝 MySQL 時(shí)不會(huì)設(shè)置密碼；雖然基于 Debian 的系統(tǒng)會(huì)在交互式安裝期間提示您輸入密碼，但非交互式安裝（就像您可能使用配置管理器執(zhí)行的那樣）會(huì)跳過(guò)它。此外，你仍然可以在交互式安裝期間跳過(guò)設(shè)置密碼。

你可能認(rèn)為讓 root 用戶不輸入密碼并不是什么大的安全風(fēng)險(xiǎn)。畢竟，用戶設(shè)置為 “root@localhost”，你可能認(rèn)為這意味著你必須先 root 計(jì)算機(jī)，然后才能成為該用戶。不幸的是，這意味著任何可以從 localhost 觸發(fā) MySQL 客戶端的用戶都可以使用以下命令以 MySQL root 用戶身份登錄：

*$ mysql — user root*

因此，如果你不為 root 用戶設(shè)置密碼，那么任何能夠在您的 MySQL 機(jī)器上獲得本地 shell 的人現(xiàn)在都可以完全控制你的數(shù)據(jù)庫(kù)。

要修復(fù)此漏洞，請(qǐng)使用 mysqladmin 命令為 root 用戶設(shè)置密碼：

$ sudo mysqladmin password

不幸的是，MySQL 以 root 用戶身份運(yùn)行后臺(tái)任務(wù)。一旦你設(shè)置了密碼，這些任務(wù)就會(huì)中斷，除非采取額外的步驟將密碼硬編碼到 /root/.my.cnf 文件中：

[mysqladmin] user = rootpassword = yourpassword

但是，這意味著你必須將密碼以純文本形式存儲(chǔ)在主機(jī)上。但是你至少可以使用 Unix 文件權(quán)限將對(duì)該文件的訪問(wèn)限制為僅 root 用戶：

sudo chown root:root /root/.my.cnf sudo chmod 0600 /root/.my.cnf

第二步：刪除匿名用戶

匿名帳戶是既沒(méi)有用戶名也沒(méi)有密碼的 MySQL 帳戶。你不希望攻擊者在沒(méi)有密碼的情況下對(duì)你的數(shù)據(jù)庫(kù)進(jìn)行任何形式的訪問(wèn)，因此請(qǐng)?jiān)诖嗣畹妮敵鲋胁檎沂褂每瞻子脩裘涗浀娜魏?MySQL 用戶：

> SELECT Host, User FROM mysql.user; + — — — — — — — — — — — — + — — — -+ | Host | User | + — — — — — — — — — — — — + — — — -+ | 127.0.0.1 | root | | ::1 | root | | localhost | | | localhost | root | + — — — — — — — — — — — — + — — — -+ 4 rows in set (0.00 sec)

在這些根用戶中間有一個(gè)匿名用戶（ localhost ），它在 User 列中為空。你可以使用下面命令清除特定的匿名用戶：

> drop user ""@"localhost"; > flush privileges;

如果你發(fā)現(xiàn)任何其他匿名用戶，請(qǐng)確保將其刪除。

第三步：遵循最小特權(quán)原則

最小特權(quán)原則是一項(xiàng)安全原則，可以總結(jié)如下：

只為賬戶提供執(zhí)行作業(yè)所需的訪問(wèn)權(quán)限，而不提供