【引言】
随着MySQL正变得越来越流行。MySQL地位爆炸式的提升, MySQL的市场份额也日益剧增。
需求来了,随着而来的是问题,如何确保MySQL使用安全也成了各大公司的一块心病。
MySQL是一个真正的多用户、多线程SQL数据库服务器,它是一个客户机/服务器结构的实现。
MySQL是现在流行的关系数据库中其中的一种,相比其它的数据库管理系统(DBMS)来说,MySQL具有小巧、功能齐全、查询迅捷等优点。
MySQL 主要目标是快速、健壮和易用。
目前,在大中型企业中已经得到了较好的运用,但是由于它是多平台的数据库,不可避免的默认配置也是适合多种情况的需求,因此需要用户需要在自定义的环境下对MySQL的使用进行加固。
假如软件本身有严重安全问题,即使安全配置做的更好,也没有用。
Mysql开发组织不认为有完全的冻结版,因为任何版本均需要对漏洞进行修复和其它修复。对于“某种程度的冻结”,他们是指他们可以在产品发布中增加一些不会影响当前工作的小东西。当然,前一系列的相关漏洞修复会移植到后面的系列。
根据官方的建议,至目前为止,推荐使用目前的稳定版本MySQL 8.0。如果你正在运行一个老的系统并且想要升级,但是又不想冒险进行非无缝升级,应该升级到最新版本中你正使用的相同的发布系列(只有版本号的最后部分比你使用的新,例如5.6和5.7为同一系列)。
【MySQL安全配置】
安装完MySQL之后,最重要是对MySQL进行安全配置。
数据库作为数据管理的平台,它的安全性首先由系统的内部安全和网络安全两部分来决定。
对于系统管理员来说,首先要保证系统本身的安全。
在安装MySQL数据库时,需要对基础环境进行较好的配置。
1、修改root用户口令,删除空口令
安装的MySQL的root用户密码,为了安全起见,必须修改为强密码,所谓的强密码,至少8位,由字母、数字和符号组成的不规律密码。
修改MySQL命令有两种方法,第一种使用MySQL自带的命令mysqladmin修改root密码,第二种是登陆数据库,修改数据库mysql下的user表的字段内容。
修改用户密码命令行:
# /usr/local/mysql/bin/mysqladmin -u root password “upassword”
//使用mysqladmin#
mysql> use mysql;
#mysql> update user set password=password('upassword') where user='root';
#mysql> flush privileges;
//强制刷新内存授权表,否则用的还是在内存缓冲的口令
2、删除默认数据库和数据库用户
通常情况下,安装完MySQL数据库后,MySQL初始化后会自动生成空用户和test库,空库和空用户的目的是可以进行安装的测试,但是这会对数据库的安全构成威胁,有必要全部删除,最后的状态只保留单个root即可。
后续可以添加符合自身业务需求的数据库和用户,命令行如下:
#mysql> show databases;
#mysql> drop database test; //删除数据库test
#use mysql;
#delete from db;
//删除存放数据库的表信息,因为还没有数据库信息。
#mysql> delete from user where not (user='root') ;
// 删除初始非root的用户
#mysql> delete from user where user='root' and password='';
//删除空密码的root,尽量重复操作
Query OK, 2 rows affected (0.00 sec)#
mysql> flush privileges; //强制刷新内存授权表。
3、关于密码的管理
密码是数据库安全管理的一把钥匙,因此不要将纯文本密码保存到数据库中。
如果你的计算机有安全危险,入侵者可以获得所有的密码并使用它们。
也不要从词典中选择密码,有专门的程序可以破解它们,请选用至少八位,由字母、数字和符号组成的强密码。
在存取密码时,使用mysql的内置函数password()的sql语句,对密码进行加密后存储。
例如以下方式在users表中加入新用户。
- mysql> insert into users values (1,password(1234),’test’);
4、使用独立用户运行mysql
有些系统为了方便使用root用户运行MySQL服务,这里强调绝对不要作为使用root用户运行MySQL服务器。
这样做非常危险,因为任何具有FILE权限的用户能够用root创建文件(例如,~root/.bashrc)。
mysqld拒绝使用root运行,除非使用–user=root选项明显指定。应该用普通非特权用户运行mysqld。
为数据库建立独立的linux中的mysql账户,该账户用来只用于管理和运行MySQL。
要想用其它Unix用户启动mysqld,增加user选项指定/etc/my.cnf选项文件或服务器数据目录的my.cnf选项文件中的[mysqld]组的用户名。
#vim /etc/my.cnf[mysqld]user=mysql
该命令使服务器用指定的用户来启动,无论你手动启动或通过mysqld_safe或mysql.server启动,都能确保使用mysql的身份。
也可以在启动数据库是,加上user参数。
- /usr/local/mysql/bin/mysqld_safe –user=mysql &
作为其它linux用户而不用root运行mysqld,你不需要更改user表中的root用户名,因为MySQL账户的用户名与linux账户的用户名无关。
确保mysqld运行时,只使用对数据库目录具有读或写权限的linux用户来运行。
5、禁止远程连接数据库
MySQL默认的端口是3306。
至少修改默认的监听端口,同时添加防火墙规则,只允许可信任的网络的mysql监听端口的数据通过。
# vim /etc/my.cf将#skip-networking注释去掉。# /usr/local/mysql/bin/mysqladmin -u root -p shutdown //停止数据库#/usr/local/mysql/bin/mysqld_safe --user=mysql & //后台用mysql用户启动mysql
6、用户目录权限限制
默认情况下的mysql是安装在/usr/local/mysql,而对应的数据库文件在/usr/local/mysql/var目录下。
因此,必须保证该目录绝对安全,不能让未经授权的用户访问后把数据库打包拷贝走了,所以要限制对该目录的访问。
确保mysqld运行时,只使用对数据库目录具有读或写权限的linux用户来运行。
# chown -R root/usr/local/mysql/ //mysql主目录给root#
chown -R mysql.mysql /usr/local/mysql/var //确保数据库目录权限所属mysql用户
7、命令历史记录保护
Linux系统下,数据库相关的shell操作命令都会分别记录在.bash_history,如果这些文件不慎被攻击读取,那么必然会导致数据库密码和数据库结构等信息泄露。
而登陆数据库后的操作将记录在.mysql_history文件中,如果使用update表信息来修改数据库用户密码的话,也会被读取密码,因此需要删除这两个文件。
同时在进行登陆或备份数据库等与密码相关操作时,应该使用-p参数加提示输入密码后,隐式输入密码,建议将以上文件置空。
# rm .bash_history .mysql_history//删除历史记录
# ln -s /dev/null .bash_history//将shell记录文件置空
# ln -s /dev/null .mysql_history//将mysql记录文件置空
8、禁止MySQL对本地文件存取
在mysql中,提供对本地文件的读取,使用的是load data local infile命令,
该操作令会利用MySQL把本地文件读到数据库中,然后用户就可以非法获取敏感信息了。
假如你不需要读取本地文件,请务必关闭。
测试:首先在测试数据库下建立sqlfile.txt文件,用逗号隔开各个字段
# vi sqlfile.txt1,sszng,1112,sman,222
#mysql> load data local infile 'sqlfile.txt' into table users fields terminated by ','; //读入数据
#mysql> select * from users;
+--------+------------+----------+
| userid| username| password |
+--------+------------+----------+
|1 | sszng| 111||2 | sman| 222|
+--------+------------+----------+
成功的将本地数据插入数据中。
此时应该禁止MySQL中用“LOAD DATA LOCAL INFILE”命令。
网络上流传的一些攻击方法中就有用它LOAD DATA LOCAL INFILE的。
同时它也是很多新发现的SQL Injection攻击利用的手段!黑客还能通过使用LOAD DATALOCAL INFILE装载“/etc/passwd”进一个数据库表,然后能用SELECT显示它,这个操作对服务器的安全来说,是致命的。
可以在my.cnf中添加local-infile=0,或者加参数local-infile=0启动mysql。
#/usr/local/mysql/bin/mysqld_safe --user=mysql --local-infile=0 &
#mysql> load data local infile 'sqlfile.txt' into table users fields terminated by ',';
#ERROR 1148 (42000): The used command is not allowed with this MySQL version
–local-infile=0选项启动mysqld从服务器端禁用所有LOAD DATA LOCAL命令,假如需要获取本地文件,需要打开,但是建议关闭。
9、MySQL服务器权限控制
MySQL权限系统的主要功能是验证连接到一台给定主机的用户,并且赋予该用户在数据库上的SELECT、INSERT、UPDATE和DELETE等权限。
它的附加的功能包括有匿名的用户并对于MySQL特定的功能例如LOAD DATA INFILE进行授权及管理操作的能力。
管理员可以对user,db,host等表进行配置,来控制用户的访问权限,而user表权限是超级用户权限。只把user表的权限授予超级用户如服务器或数据库主管是明智的。
对其他用户,你应该把在user表中的权限设成’N’并且仅在特定数据库的基础上授权。你可以为特定的数据库、表或列授权,FILE权限给予你用LOAD DATA INFILE和SELECT … INTO OUTFILE语句读和写服务器上的文件,任何被授予FILE权限的用户都能读或写MySQL服务器能读或写的任何文件。
FILE权限允许用户在MySQL服务器具有写权限的目录下创建新文件,但不能覆盖已有文件在user表的File_priv设置Y或N。
所以当你不需要对服务器文件读取时,请关闭该权限。
#mysql> load data infile 'sqlfile.txt' into table loadfile.users fields terminated by ',';
Query OK, 4 rows affected (0.00 sec) //读取本地信息sqlfile.txt'
Records: 4Deleted: 0Skipped: 0Warnings: 0
#mysql> update user set File_priv='N' where user='root'; //禁止读取权限
Query OK, 1 row affected (0.00 sec)
Rows matched: 1Changed: 1Warnings: 0
mysql> flush privileges; //刷新授权表
Query OK, 0 rows affected (0.00 sec)
#mysql> load data infile 'sqlfile.txt' into table users fields terminated by ','; //重登陆读取文件
#ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES) //失败
# mysql> select * from loadfile.users into outfile 'test.txt' fields terminated by ',';
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
为了安全起见,随时使用SHOW GRANTS语句检查查看谁已经访问了什么。然后使用REVOKE语句删除不再需要的权限。
10、使用chroot方式来控制MySQL的运行目录
Chroot是linux中的一种系统高级保护手段,它的建立会将其与主系统几乎完全隔离,也就是说,一旦遭到什么问题,也不会危及到正在运行的主系统。
这是一个非常有效的办法,特别是在配置网络服务程序的时候。
【Mysqld安全相关启动选项】
下列mysqld选项影响安全:
- –allow-suspicious-udfs
该选项控制是否可以载入主函数只有xxx符的用户定义函数。
默认情况下,该选项被关闭,并且只能载入至少有辅助符的UDF。这样可以防止从未包含合法UDF的共享对象文件载入函数。
- –local-infile[={0|1}
用–local-infile=0启动服务器,则客户端不能使用LOCAL in LOAD DATA语句。
- –old-passwords
强制服务器为新密码生成短(pre-4.1)密码哈希。
当服务器必须支持旧版本客户端程序时,为了保证兼容性这很有用。
- (OBSOLETE) –safe-show-database
在以前版本的MySQL中,该选项使SHOW DATABASES语句只显示用户具有部分权限的数据库名。
该选项不再作为现在的默认行为使用,有一个SHOW DATABASES权限可以用来控制每个账户对数据库名的访问。
- –safe-user-create
如果启用,用户不能用GRANT语句创建新用户,除非用户有mysql.user表的INSERT权限。
如果你想让用户具有授权权限来创建新用户,你应给用户授予下面的权限:
- mysql> GRANT INSERT(user) ON mysql.user TO ‘user_name’@’host_name’;
这样确保用户不能直接更改权限列,必须使用GRANT语句给其它用户授予该权限。
- –secure-auth
不允许鉴定有旧(pre-4.1)密码的账户。
- –skip-grant-tables
这个选项导致服务器根本不使用权限系统。这给每个人以完全访问所有的数据库的权力!
(通过执行mysqladmin flush-privileges或mysqladmin eload命令,或执行FLUSH PRIVILEGES语句,你能告诉一个正在运行的服务器再次开始使用授权表。)
- –skip-name-resolve
主机名不被解析。
所有在授权表的Host的列值必须是IP号或localhost。
- –skip-networking
在网络上不允许TCP/IP连接。所有到mysqld的连接必须经由Unix套接字进行。
- –skip-show-database
使用该选项,只允许有SHOW DATABASES权限的用户执行SHOW DATABASES语句,该语句显示所有数据库名。
不使用该选项,允许所有用户执行SHOW DATABASES,但只显示用户有SHOW DATABASES权限或部分数据库权限的数据库名。
请注意全局权限指数据库的权限。
聚焦技术与人文,分享干货,共同成长
更多内容请关注“数据与人”