FreeBSD下构建安全的Web服务器(3)

(6) 控制数据库访问权限
对于使用php脚本来进行交互，最好建立一个用户只针对某个库有 update、select、delete、insert、drop table、create table等权限，这样就很好避免了数据库用户名和密码被黑客查看后最小损失。
比如下面我们创建一个数据库为db1，同时建立一个用户test1能够访问该数据库。
mysql> create database db1;
mysql> grant select,insert,update,delete,create,drop privileges on db1.* to test1@localhost identified by ’admindb’;
以上SQL是创建一个数据库db1，同时增加了一个test1用户，口令是admindb，但是它只能从本地连接mysql，对db1库有select,insert,update,delete,create,drop操作权限。
(7) 限制一般用户浏览其他用户数据库
如果有多个数据库，每个数据库有一个用户，那么必须限制用户浏览其他数据库内容，可以在启动MySQL服务器时加--skip-show-database 启动参数就能够达到目的。
(8) 忘记mysql密码的解决办法
如果不慎忘记了MySQL的root密码，我们可以在启动MySQL服务器时加上参数--skip-grant-tables来跳过授权表的验证 (./safe_mysqld --skip-grant-tables &)，这样我们就可以直接登陆MySQL服务器，然后再修改root用户的口令，重启MySQL就可以用新口令登陆了。
(9) 数据库文件的安全
我们默认的mysql是安装在/usr/local/mysql目录下的，那么对应的数据库文件就是在/usr/local/mysql/var目录下，那么我们要保证该目录不能让未经授权的用户访问后把数据库打包拷贝走了，所以要限制对该目录的访问。
我们修改该目录的所属用户和组是mysql，同时改变访问权限：
# chown -R mysql.mysql /usr/local/mysql/var
# chmod -R go-rwx /usr/local/mysql/var
(10) 删除历史记录
执行以上的命令会被shell记录在历史文件里，比如bash会写入用户目录的.bash_history文件，如果这些文件不慎被读，那么数据库的密码就会泄漏。用户登陆数据库后执行的SQL命令也会被MySQL记录在用户目录的.mysql_history文件里。如果数据库用户用SQL语句修改了数据库密码，也会因.mysql_history文件而泄漏。所以我们在shell登陆及备份的时候不要在-p后直接加密码，而是在提示后再输入数据库密码。
另外这两个文件我们也应该不让它记录我们的操作，以防万一。
# rm .bash_history .mysql_history
# ln -s /dev/null .bash_history
# ln -s /dev/null .mysql_history
(11) 其他
另外还可以考虑使用chroot等方式来控制mysql的运行目录，更好的控制权限，具体可以参考相关文章。
4. vsFTPd安全设置  
vsFTPd是一款非常著名的ftp daemon程序，目前包括Redhat.com在内很多大公司都在使用，它是一款非常安全的程序，因为它的名字就叫：Very Secure FTP Daemon (非常安全的FTP服务器)。
vsftpd设置选项比较多，涉及方方面面，我们下面主要是针对安全方面进行设置。
目前我们的需求就是使用系统帐户同时也作为是我们的FTP帐户来进行我们文件的管理，目前假设我只需要一个帐户来更新我的网站，并且我不希望该帐户能够登陆我们的系统，比如我们的网站的目录是在/usr/www下面，那么我们新建一个用户ftp，它的主目录是/usr/www，并且它的shell是/usr/sbin/nologin，就是没有shell，防止该用户通过ssh等登陆到系统。
下面在进行系统详尽的设置，主要就是针对vsftpd的配置文件vsftpd.conf文件的配置。
(1) 禁止匿名用户访问, 我们不需要什么匿名用户，直接禁止掉：
anonymous_enable=NO  
(2) 允许本地用户登陆，因为我们需要使用ftp用户来对我们网站进行管理:
local_enable=YES

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有