《高可用MySQL》P59

安全和二進制日志

一般來說，一個有REPLICATION SLAVE權限的用戶擁有讀取Master上發生的所有事件的權限，因此為了確保安全應使該賬戶不被損害。這里介紹一些預防措施的例子：

1 盡可能使從防火墻外無法登錄該賬戶；

2 記錄所有試圖登錄到該賬戶的日志，并將日志放置在一個單獨的安全服務器上；

3 加密Master和Salve間所用的連接，例如MySQL的built-in SSL(Secure Sockets Layer)支持。

即使這個賬戶已經安全了，還存在一些沒必要放在二進制日志中的信息，因此首先不存儲在那里也是有道理的。

較為常見的一個敏感信息就是密碼。當執行改變服務器上的表的語句，并且它包含訪問這個表所必須的密碼的時候，包含密碼的事件會被寫入二進制日志。

一個典型的例子是：

UPDATE employee SET pass = PASSWORD('foobar') WHERE email = 'mats@example.com';

如果復制是正確的，最好重寫這個沒有密碼的語句?？梢酝ㄟ^以下方法實現：計算和存儲哈希密碼到用戶定義變量，然后在表達式中使用它：

SET @password = PASSWORD('foobar');UPDATE employee SET pass = @password WHERE email = 'mats@example.com';

由于SET語句沒有被復制，原來的密碼將不會存儲在二進制日志中，而僅在執行該語句的時候存儲在服務器的內存中。

只要存儲password hash到表中，而不需要純文本密碼，這種方法行之有效。如果原始密碼是直接存儲在表中的，就有沒有辦法阻止密碼在二進制日志中結束。但存儲哈希密碼在任何情況下都是一個標準的好做法，可以防止有人通過學習密碼將原始數據弄到手。

封裝連接為加密Master和Salve之間的連接提供了一些保護，但如果二進制日志本身被攻破，加密連接也無能為力。

總結

以上是生活随笔為你收集整理的二进制安全与MySQL的关系_《高可用MySQL》节选 -- 安全和二进制日志的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。