mysql系统安全管理与优化

发布时间:2020-07-30 20:24:14 作者:FJCA
来源:网络 阅读:1140

1. 禁止MySql以管理员账号权限运行

MySql应该使用非管理员账号运行,以普通账户安全运行mysqld

加固方法:在my.cnf配置文件中配置user=mysql


2. 设置root用户口令并修改登录名,且不存在空密码账户

> set password for 'root'@'localhost'=password('new_password');
#实际操作中,只需将上面new_password换成实际的口令即可
> use mysql;
> update user set user="another_username" where user="root";
> flush privileges;

然后,可用通过$ mysql -u another_username -p 访问mysql控制台了。

> select * from mysql.user where user="";


3. 配置合适的密码强度,最长使用期限小于90天

加固方法:添加以下配置行到全局配置

plugin-load = validate_password.so        #加载密码强度验证插件
validate_password_length = 14             #密码长度最小为14,默认为8      
validate_password_mixed_case_count = 1    #至少包含的小写字母个数和大写字母个数
validate_password_number_count = 1        #至少包含的数字个数
validate_password_special_char_count = 1  #至少包含的特殊字符个数
validate_password_policy = MEDIUM         #密码强度等级,有三种:0/LOW、1/MEDIUM、2/STRONG,默认为MEDIUM

关于密码强度的三种等级,要求如下:

Policy                 Tests Performed
0 or LOW               Length
1 or MEDIUM            Length; numeric, lowercase/uppercase, and special characters
2 or STRONG            Length; numeric, lowercase/uppercase, and special characters; dictionary file
> set global default_password_lifetime=90;


4. 降低用户的数据库特权,只有管理员有完整的数据库访问权限

加固方法:审计每项特权授予的用户,对于非管理用户,使用revoke语句来适当删除权限。

# mysql.user表中的特权有:
file_priv:表示是否允许用户读取数据库所在主机的本地文件;
Process:表示是否允许用户查询所有用户的命令执行信息;
Super_priv:表示用户是否有设置全局变量,管理员调试等高级别权限;
Shutdown_priv:表示用户是否可以关闭数据库;
Create_user_priv:表示用户是否可以创建或删除其他用户;
Grant_priv:表示用户是否可以修改其他用户权限

查询正在执行的sql语句:

> show processlist;
# 或者
> use information_schema;
> select * from PROCESSLIST where info is not null;

使用如下命令查看拥有对应权限的数据库账号:

select host,user from mysql.user where File_priv='Y';

如果存在非管理员用户,使用如下命令进行权限回收:

revoke file on *.* from 'mysql';



5. 禁止或限制远程访问,确保特定主机才拥有访问权限

> grant all on *.* to 'root'@'%';
> grant all on *.* to 'root'@'localhost';
> grant all on *.* to 'root'@'hostname_ip'; #可以是ip或者主机名

如果,要取消在某台主机上的访问权限,可以采用:

> revoke all on *.* from 'root'@'hostname_ip';

如果,只授权部分权限,可以采用:

> grant select on mydb.* to 'someuser'@'hostname_ip';


6. 配置MySql日志便于审计




推荐阅读:
  1. MySQL优化 - 性能分析与查询优化
  2. mysql下表的修复与优化

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

mysql 安全

上一篇:Shell基础- 变量、判断、循环

下一篇:windows端自动化遇到的问题

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》