数据库安全防护几点先容

核心提示：企业最有价值的资产通常是其数据库中的客户或产品信息。因此，在这些企业中，数据库治理的1个重要部份就是保护这些数据免受外部攻击，及修复软/硬件故障。

企业最有价值的资产通常是其数据库中的客户或产品信息。因此，在这些企业中，数据库治理的1个重要部份就是保护这些数据免受外部攻击，及修复软/硬件故障。

在大多数情况下，软硬件故障通过数据备份机制来处理。多数数据库都自带有内置的工具自动完成全部进程，所以这方面的工作相对轻松，也不会出错。但麻烦却来自另1面：禁止外来黑客进侵盗取或破坏数据库中的信息。不幸的是，1般没有自开工具解决这1题目;而且，这需要治理员手工设置障碍来禁止黑客，确保公司数据的安全。

不对数据库进行保护的常见缘由是由于这1工作“麻烦”而“复杂”。这确切是事实，但假设你利用MySQL，便可以够使用1些方便的功能来明显减少面临的风险。下面列出了以下几个功能：

删除授权表中的通配符

MySQL访问控制系统通过1系列所谓的授权表运行，从而对数据库、表格或栏目级别的用户访问权利进行定义。但这些表格答应治理员为1名用户设定1揽子许可，或1组利用通配符的表格。这样做会有潜伏的危险，由于黑客可能会利用1个受限的账户来访问系统的其他部份。由于这1缘由，在设置用户特权时要谨慎，始终保证用户只能访问他们所需的内容。在给个别用户设定超级特权时要特别谨慎，由于这类级别答应普通用户修改服务器的基本配置，并访问全部数据库。

建议：对每个用户账户利用显示特权命令，以审查授权表，了解利用通配符许可是否是恰当。

要求使用安全密码

用户账号的安全与用来保护它们的密码密切相干。因此，在安装MySQL时第1件事就应当设置MySQL根账号的密码(默以为空)。修复这1漏洞后，接下来就应要求每个用户账号使用1个密码，且不要使用生日、用户名或字典中的单词这些轻易辨认的启发式密码。

建议：利用MySQL-安全-授权选项避免使用旧的，不大安全的MySQL密码格式。

检查配置文件许可

1般来讲，要使服务器连接更加快速方便，单个用户和服务器治理员必须把他们的用户账号密码存储在单用户MySQL选项文件中。但是，这类密码是以纯文本情势存储在文件中的，很轻易便可以够查阅。因此，必须保证这样的单用户配置文件不被系统中的其他用户查阅，且将它存储在非公共的位置。理想情况下，你希看单用户配置文件保存在用户的根目录，许可为0600。

加密客户与服务器之间数据传送

MySQL(及其它)客户与服务器构架的1个重要题目就是通过网络传送数据时的安全题目。假设客户与服务器间的交互以纯文本情势产生，黑客便可能“嗅出”被传送的数据包，从而取得机密信息。你可以通过激活MySQL配置中的SSL，或利用1个OpenSSH这样的安全利用来为传送的数据建立1个安全的加密“通道”，以封闭这1漏洞。以这类情势加密客户与服务器连接可使未授权用户极难查阅来往的数据。

制止远程访问

假设用户不需要远程访问服务器，你可以迫使所有MySQL连接通过UNIX插槽文件来完成，从而大大减少网络受攻击的风险。这1进程可通过跳过网络选项启动服务器来完成。这样可以禁止TCP/IP网络连接到MySQL上，保证没有用户可以远程连接系统。

建议：可以在MySQL服务器配置中添加***地址127.0.0.1指令来增强这1功能，迫使MySQL***当地机器的IP地址来保证只有同1系统中的用户可以连接到MySQL。

积极监控MySQL访问记录

MySQL中带有很多不同的日志文件，它们记录客户连接，查询和服务器毛病。其中，最重要的是1般查询日志，它用时间标签记录每名客户的连接和中断时间，并记录客户履行的每个查询。假设你怀疑产生了不平常的行动，如网络进侵，那末监控这个日志以了解行动的来源是个好方法。

保护你的MySQL数据库是1个平常工作。因此，即使完成了上述步骤，也还需要你利用更多的时间往了解更多的安全建议，积极监控并更新你的系统安全。

评论加载中... 内容： 评论者： 验证码：