mysql command line client 目标不对_简单几招提高MySQL安全性
摘要: 導(dǎo)讀 如何提高M(jìn)ySQL的安全性 數(shù)據(jù)庫的安全性無疑很重要,這里教大家?guī)渍泻唵畏椒ㄌ岣甙踩浴?1. 正確設(shè)置 datadir 權(quán)限模式 關(guān)于 datadir 正確的權(quán)限模式是 0750,甚至是 0700。
導(dǎo)讀
由于不能直接分享架構(gòu)資料,可以私信“555”獲取哦(可以進(jìn)群與大牛一起)
如何提高M(jìn)ySQL的安全性
數(shù)據(jù)庫的安全性無疑很重要,這里教大家?guī)渍泻唵畏椒ㄌ岣甙踩浴?/p>
1. 正確設(shè)置 datadir 權(quán)限模式
關(guān)于 datadir 正確的權(quán)限模式是 0750,甚至是 0700。
也就是最多只允許 mysqld 進(jìn)程屬主用戶及其所在用戶組可訪問,但只有屬主可修改文件。
最好是直接設(shè)置成 0700,相對更安全些,避免數(shù)據(jù)文件意外泄漏。
[yejr@imysql.com]# chown -R mysql.mysql /data/mysql57[yejr@imysql.com]# chmod 0700 /data/mysql57[yejr@imysql.com]# ls -la /data/drwxr-x---. 8 mysql mysql 4096 Feb 14 08:08 mysql572. 將 mysql socket 文件放在 datadir 下
很多人習(xí)慣將 mysql socket文件放在 /tmp 目錄下。
尤其是跑多實(shí)例時,/tmp 目錄下可能有 mysql3306.sock、mysql3307.sock、mysql3308.sock 等多個這樣的文件。
要注意,mysql.sock 文件默認(rèn)的權(quán)限模式是 0777,也就是任何人都有機(jī)會通過 /tmp 目錄下的 socket 文件直接登入 mysql,尤其是root密碼為空或弱密碼,并且還允許本地 socket 方式登入時,是個比較危險的安全隱患。
因此,我們強(qiáng)烈建議把 mysql socket 文件放置在每個實(shí)例自己的 datadir 下,并且參考第一條建議,設(shè)置正確的權(quán)限模式。同時甚至也可以把 mysql.sock 文件權(quán)限模式修改為 0700。
[yejr@imysql.com]# chmod 0700 /data/mysql57/mysql.sock[yejr@imysql.com]# ls -la /data/mysql57/mysql.socksrwx------. 1 mysql mysql 0 Feb 12 16:00 /data/mysql57/mysql.sock3. 使用login-path
一般來說,我們會為每個mysql賬戶設(shè)置密碼,這樣是安全了,但使用和維護(hù)起來就不方便了。
每次登入都要輸入密碼,尤其是調(diào)用mysql client工具時,如果直接將密碼寫在client工具的選項(xiàng)里,則是非常危險的行為,從歷史命令就能看到密碼了,并且會有類似下面的提示:
mysql: [Warning] Using a password on the command line interface can be insecure.這時候,我們其實(shí)可以利用 login-path 功能來提高安全性及便利性。
login-path 特性是MySQL 5.6新增的。
首先,利用 mysql_config_editor 配置login-path:
#選項(xiàng) ”-G lp-mysql57-3306”設(shè)定login-path的別名mysql_config_editor set -G lp-mysql57-3306 -S /data/mysql57/mysql.sock -uroot -p設(shè)置完后,就會在該用戶的 $HOME目錄下生成 .mylogin.cnf 文件:
[yejr@imysql.com]# ls -la ~/.mylogin.cnf-rw-------. 1 yejr users 152 Feb 11 22:42 /home/yejr/.mylogin.cnf[yejr@imysql.com]# file ~/.mylogin.cnf/home/yejr/.mylogin.cnf: data這是個加密的二進(jìn)制文件,即便用明文方式查看,也是無法顯示密碼的:
[yejr@imysql.com]# mysql_config_editor print --allmysql_config_editor print --all[lp-mysql57-13306]user = rootpassword = *****socket = /data/mysql57/mysql.sock接下來可以利用 login-path 很方便的登入 mysqld 而無需額外的密碼:
[yejr@imysql.com]# mysql --login-path=lp-mysql57-13306 -e "select 1+1 from dual"+-----+| 1+1 |+-----+| 2 |+-----+[yejr@imysql.com]# mysqladmin --login-path=lp-mysql57-13306 pr+----+------+-----------+----+---------+------+----------+------------------+| Id | User | Host | db | Command | Time | State | Info |+----+------+-----------+----+---------+------+----------+------------------+| 3 | root | localhost | | Query | 0 | starting | show processlist |+----+------+-----------+----+---------+------+----------+------------------+在做好前面兩條安全規(guī)則的前提下,即便萬一某個高權(quán)限等級用戶的 .mylogin.cnf 文件被其他普通用戶盜取,也無法利用 socket 方式登入 mysql。
當(dāng)然了,除非你之前在 login-path 里設(shè)置的是走 tcp/ip 方式,那就悲劇了~
下面是假設(shè) yejr 普通賬號想利用 root 賬號的 .mylogin.cnf 文件登入,報告失敗,因?yàn)闊o法訪問 /data/mysql57/mysql.sock 文件:
[yejr@imysql ~]$ /usr/local/mysql57/bin/mysql --login-path=lp-mysql57-13306ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/data/mysql57/mysql.sock' (13)由于不能直接分享架構(gòu)資料,可以私信“555”獲取哦(可以進(jìn)群與大牛一起) 與50位技術(shù)專家面對面20年技術(shù)見證,附贈技術(shù)全景圖總結(jié)
以上是生活随笔為你收集整理的mysql command line client 目标不对_简单几招提高MySQL安全性的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python语言特点依赖平台吗_pyth
- 下一篇: python和sqlserver_利用p