高防服務(wù)器租用下mysql數(shù)據(jù)庫的安全設(shè)置方法

高防服務(wù)器租用下mysql數(shù)據(jù)庫的安全設(shè)置方法
現(xiàn)在很多企業(yè)都選擇高防服務(wù)器租用，那么在高防服務(wù)器中如何保證mysql數(shù)據(jù)的安全呢？下面服務(wù)器租用商為大家講解高防服務(wù)器租用下mysql數(shù)據(jù)庫的安全設(shè)置方法。
我們把Mysql安裝在 /usr/local/mysql目次下，我們必須成立一個用戶名為mysql，組為mysql的用戶來運(yùn)轉(zhuǎn)我們的mysql，同時我們把它的配置文件拷貝到 /etc目次下：
# cp suport-files/my-medium.cnf /etc/my.cnf  chown root:sys /etc/my.cnf  chmod 644 /etc/my.cnf
利用用戶mysql來啟動我們的mysql:
# /usr/local/mysql/bin/mysqld_safe -user=mysql
(1) 建改root用戶的的口令
缺省安拆的mysql是出有暗碼的，所以我們要建改，以防萬一。下面回支三種體例來建改root的口令。
* 用mysqladmin呼吁來改root用戶口令  ＃ mysqladmin -uroot password test
如許，MySQL數(shù)據(jù)庫root用戶的口令便被改成test了。（test只是舉例，我們真際利用的口令必然沒有克沒有及利用這類易猜的強(qiáng)口令）
* 用set password建改口令：
mysql> set password for root@localhost=password("test"); ;這時候root用戶的口令便被改成test了。
* 直接建改user表的root用戶口令 mysql> use mysql;
mysql> update user set password=password("test") where user="root"; mysql> flush privileges
如許，MySQL數(shù)據(jù)庫root用戶的口令也被改成test了。個中最后一句呼吁flush privileges的意思是強(qiáng)迫刷新內(nèi)存授權(quán)表，沒有然用的借是緩沖中的口令，這時候非法用戶借能夠用root用戶及空口令登岸，直到重啟MySQL服務(wù)器。
(2) 刪除默許的數(shù)據(jù)庫和用戶  我們的數(shù)據(jù)庫是正在當(dāng)天，并且也只需供當(dāng)天的php足本對mysql停止讀取，所以許多用戶沒有需供。mysql初始化后會自動生成空用戶和test庫，這會對數(shù)據(jù)庫構(gòu)成威脅，我們局部刪除。
我們利用mysql客戶端法式銜接到當(dāng)天的mysql服務(wù)器后呈現(xiàn)如下提醒：  mysql> drop database test; mysql> use mysql
mysql> delete from db; 
mysql> delete from user where not(host="localhost" and user="root");  mysql> flush privileges
(3) 改變默許mysql治理員的名稱  這個工做是能夠選擇的，按照小我風(fēng)尚，由于默許的mysql的治理員名稱是root，所以若是能夠建改的話，能夠防備一些足本小子對系統(tǒng)的窮舉。我們能夠直接建改數(shù)據(jù)庫，把root用戶改成"admin" mysql> use mysql
mysql> update user set user="admin" where user="root";  mysql> flush privileges
(4) 提高當(dāng)天安全性
提高當(dāng)天安全性，次假設(shè)防備mysql對當(dāng)天文件的存取，比如烏客經(jīng)過mysql把/etc/passwd取得了，會對系統(tǒng)構(gòu)成威脅。mysql對當(dāng)天文件的存取是經(jīng)過SQL語句來真現(xiàn)，次假設(shè)經(jīng)過Load DATA LOCAL INFILE來真現(xiàn)，我們能夠經(jīng)過禁用該功能來防備烏客經(jīng)過SQL注射等取得系統(tǒng)中間文件。 禁用該功能必須正在 my.cnf 的[mysqld]部份加上一個參數(shù)set-variable=local-infile=0
(5) 脅制長途銜接mysql
由于我們的mysql只需供當(dāng)天的php足本停止銜接，所以我們無需開socket停止監(jiān)聽，那末我們完全能夠封閉監(jiān)聽的功能。  有兩個辦法真現(xiàn)：
* 配置my.cnf文件，正在[mysqld]部份添加 skip-networking 參數(shù)
* mysqld服務(wù)器中參數(shù)中添加 --skip-networking 啟動參數(shù)來使mysql沒有監(jiān)任憑何TCP/IP銜接，增加安全性。若是要停止mysql的治理的話,能夠正在服務(wù)器當(dāng)天安拆一個phpMyadmin來停止治理。
(6) 節(jié)制數(shù)據(jù)庫會晤權(quán)限
關(guān)于利用php足正本停止交互，最好成立一個用戶只針對某個庫有 update、select、delete、insert、drop table、create table等權(quán)限，如許便很好防備了數(shù)據(jù)庫用戶名和暗碼被烏客查看后最小喪得。
比如下面我們確立一個數(shù)據(jù)庫為db1，同時成立一個用戶test1能夠會晤該數(shù)據(jù)庫。
mysql> create database db1
mysql> grant select,insert,update,delete,create,drop privileges on db1.* to test1@localhost identified by "admindb";以上SQL是確立一個數(shù)據(jù)庫db1，同時增加了一個test1用戶，口令是admindb，然則它只能從當(dāng)天銜接mysql，對db1庫有select,insert,update,delete,create,drop操做權(quán)限。
(7) 限定通俗用戶欣賞其他用戶數(shù)據(jù)庫  若是有多個數(shù)據(jù)庫，每個數(shù)據(jù)庫有一個用戶，那末必須限定用戶欣賞其他數(shù)據(jù)庫內(nèi)容，能夠正在啟動MySQL服務(wù)器時加--skip-show-database 啟動參數(shù)便能夠到達(dá)方針。
( 遺記mysql暗碼的籌劃辦法
若是得慎遺記了MySQL的root暗碼，我們能夠正在啟動MySQL服務(wù)器時加上參數(shù)--skip-grant-tables來跳過授權(quán)表的驗證 (./safe_mysqld --skip-grant-tables &)，如許我們便能夠直接登岸MySQL服務(wù)器，然后再建改root用戶的口令，重啟MySQL便能夠用新口令登岸了。
(9) 數(shù)據(jù)庫文件的安全
我們默許的mysql是安拆正在/usr/local/mysql目次下的，那末對應(yīng)的數(shù)據(jù)庫文件就是正在/usr/local/mysql/var目次下，那末我們要包管該目次沒有克沒有及讓未經(jīng)授權(quán)的用戶會晤后把數(shù)據(jù)庫挨包拷貝走了，所以要限定對該目次的會晤。  我們建改該目次的所屬用戶和組是mysql，同時改變會晤權(quán)限：  # chown -R mysql.mysql /usr/local/mysql/var  # chmod -R go-rwx /usr/local/mysql/var
(10) 刪除汗青記真
嘗試以上的呼吁會被shell記真正在汗青文件里，比如bash會寫進(jìn)用戶目次的.bash_history文件，若是這些文件得慎被讀，那末數(shù)據(jù)庫的暗碼便會泄露。用戶登岸數(shù)據(jù)庫后嘗試的SQL呼吁也會被MySQL記真正在用戶目次的.mysql_history文件里。若是數(shù)據(jù)庫用戶用SQL語句建改了數(shù)據(jù)庫暗碼，也會因.mysql_history文件而泄露。所以我們正在shell登岸及備份的時分沒有要正在-p后直接加暗碼，而是正在提醒后再輸進(jìn)數(shù)據(jù)庫暗碼。
另外這兩個文件我們也應(yīng)當(dāng)沒有讓它記真我們的操做，以防萬一。 # rm .bash_history .mysql_history  # ln -s /dev/null .bash_history  # ln -s /dev/null .mysql_history
(11) 其他
另外借能夠思考利用chroot等體例來節(jié)制mysql的運(yùn)轉(zhuǎn)目次，更好的節(jié)制權(quán)限，具體能夠參考相干文章。
4. vsFTPd安全設(shè)置
vsFTPd是一款極度出名的ftp daemon法式，今朝包含Redhat.com正在內(nèi)許多至公司都正在利用，它是一款極度安全的法式，由于它的名字便叫：Very Secure FTP Daemon (極度安全的FTP服務(wù)器)。
vsftpd設(shè)置選項比較多，涉及圓圓面面，我們下面次假設(shè)針對安全圓面停止設(shè)置。
今朝我們的需供就是利用系統(tǒng)帳戶同時也做為是我們的FTP帳戶來停止我們文件的治理，今朝假定我只需供一個帳戶來更新我的網(wǎng)站，并且我沒有希視該帳戶能夠登岸我們的系統(tǒng)，比如我們的網(wǎng)站的目次是正在/usr/www下面，那末我們新建一個用戶ftp，它的主目次是/usr/www，并且它的shell是/usr/sbin/nologin，就是出有shell，防備該用戶經(jīng)過ssh等登岸到系統(tǒng)。
下面正在停止系統(tǒng)詳實的設(shè)置，次要就是針對vsftpd的配置文件vsftpd.conf文件的配置。
(1) 脅制匿名用戶會晤, 我們沒有需供甚么匿名用戶，直接脅制掉：  anonymous_enable=NO
(2) 許可當(dāng)天用戶登岸，由于我們需供利用ftp用戶來對我們網(wǎng)站停止治理:  local_enable=YES
(3) 只許可系統(tǒng)中的ftp用戶或某些指定的用戶會晤ftp，由于系統(tǒng)中帳戶寡多，沒有成能讓誰都邑晤。挨開用戶文件列表功能：  userlist_enable=YES
只許可用戶文件列表中的用戶會晤ftp: userlist_deny=NO  用戶名文件列表途徑：
userlist_file=/etc/vsftpd.user_list
然后正在/etc下成立文件 vsftpd.user_list 文件，一行一個，把用戶ftp加進(jìn)來，同時也能夠加上你許可會晤的系統(tǒng)帳戶名。
(4) 脅制某些用戶登岸ftp:  pam_service_name=vsftpd
指出VSFTPD停止PAM認(rèn)證時所利用的PAM配置文件名，默許值是vsftpd，默許PAM配置文件是/etc/pam.d/vsftpd。
/etc/vsftpd.ftpusers
VSFTPD脅制列正在此文件中的用戶登錄FTP服務(wù)器，用戶名是一行一個。這個機(jī)制是正在/etc/pam.d/vsftpd中默許設(shè)置的。
這個功能和(3)里的功能有點相似，他們倆能星散利用，那樣便最好了。
(5) 把當(dāng)天用戶鎖定正在本身的主目次，防備轉(zhuǎn)到其他目次，比如把/etc/passwd給下載了:
chroot_local_users=NO  chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
然后正在/etc下成立vsftpd.chroot_list文件，內(nèi)中把我們要限定確當(dāng)天帳戶加進(jìn)來，一行一個，我們加上ftp，防備它登岸到系統(tǒng)。
(6) 躲藏文件真真的十足用戶和組疑息，防備烏客拿下ftp后查看更多系統(tǒng)用戶疑息：
hide_ids=YES
<div>(7) 勾銷ls -R呼吁，節(jié)省資本，由于利用該呼吁，正在文件列表許多的時分將浪擲大量系統(tǒng)資本： ls_recurse_enable=NO
( 上傳文件的默許權(quán)限，設(shè)置為022： local_umask=022
若是要覆蓋刪除等，借要挨開： write_enable=YES
(9) ftp的banner疑息，為了防備烏客取得更多服務(wù)器的疑息，設(shè)置該項： ftpd_banner=banner string
把前面的banner string設(shè)為你需供的banner提醒疑息，為了安全，建議沒有要袒露關(guān)于vsFTPd的任何疑息。 另外，若是你的疑息比較多的話，能夠設(shè)置為提醒疑息是讀取一個文件中的疑息： banner_file=/directory/vsftpd_banner_file
(10) 挨開日志功能： xferlog_enable=YES同時設(shè)置日志的目次：
xferlog_file=/var/log/vsftpd.log 啟器具體的日志記真格局： xferlog_enable=YES
(11) 若是挨開虛用戶功能等，那末建議封閉當(dāng)天用戶登岸： local_enable=NO
vsFTPd借有許多安全設(shè)置，終究人家的名字就是：Very Secure FTP Daemon，橫豎它的溢露馬足甚么的是很少的，若是要更安全，建議按照本身的需供設(shè)置vsftpd，設(shè)置的好，它盡對是最安全的。

本文出自：服務(wù)器租用/服務(wù)器托管全國十強(qiáng),虛擬主機(jī)、vps主機(jī)頂級提供商！品質(zhì)保證！—騰佑科技【mubashirfilms.com】

更多信息請點擊【新聞資訊】