如何保护MySQL中的重要数据

　　在日常的工作中，保护数据免受未授权用户的侵犯是系统管理员特别关心的问题。假如您现在用的是MySQL，就能够使用一些方便的功能来保护系统，来大大减少机密数据被未授权用户访问的风险。

　　企业最有价值的资产通常是其数据库中的客户或产品信息。因此，在这些企业中，数据库管理的一个重要部分就是保护这些数据免受外部攻击，及修复软/硬件故障。

　　在大多数情况下，软件和硬件故障通过数据备份机制来处理。多数数据库都自带有内置的工具自动完成整个过程，所以这方面的工作相对轻松，也不会出错。但麻烦却来自另一面：阻止外来黑客入侵窃取或破坏数据库中的信息。不幸的是，一般没有自动工具解决这一问题;而且，这需要管理员手工配置障碍来阻止黑客，确保公司数据的安全。

　　不对数据库进行保护的常见原因是由于这一工作“麻烦”而“复杂”。这确实是事实，但假如您应用MySQL，就能够使用一些方便的功能来显著减少面临的风险。下面列出了以下几个功能：

　　◆删除授权表中的通配符

　　MySQL访问控制系统通过一系列所谓的授权表运行，从而对数据库、表格或栏目级别的用户访问权利进行定义。但这些表格允许管理员为一名用户设定一揽子许可，或一组应用通配符的表格。这样做会有潜在的危险，因为黑客可能会利用一个受限的账户来访问系统的其他部分。由于这一原因，在配置用户特权时要谨慎，始终确保用户只能访问他们所需的内容。在给个别用户设定终极特权时要尤其小心，因为这种级别允许普通用户修改服务器的基本配置，并访问整个数据库。

　　建议：对每个用户账户应用显示特权命令，以审查授权表，了解应用通配符许可是否恰当。

　　◆需要使用安全密码

　　用户账号的安全和用来保护他们的密码密切相关。因此，在安装MySQL时第一件事就应该配置MySQL根账号的密码(默认为空)。修复这一漏洞后，接下来就应需要每个用户账号使用一个密码，且不要使用生日、用户名或字典中的单词这些容易识别的启发式密码。

　　建议：应用MySQL-安全-授权选项避免使用旧的，不大安全的MySQL密码格式。

　　◆检查配置文档许可

　　一般来说，要使服务器连接更为快速方便，单个用户和服务器管理员必须把他们的用户账号密码存储在单用户MySQL选项文档中。但是，这种密码是以纯文本形式存储在文档中的，很容易就能够查阅。因此，必须确保这样的单用户配置文档不被系统中的其他用户查阅，且将他存储在非公共的位置。理想情况下，您希望单用户配置文档保存在用户的根目录，许可为0600。

　　◆加密客户和服务器之间数据传送 :

　　MySQL(及其他)客户和服务器构架的一个重要问题就是通过网络传送数据时的安全问题。假如客户和服务器间的交互以纯文本形式发生，黑客就可能“嗅出”被传送的数据包，从而获得机密信息。您能够通过激活MySQL配置中的SSL，或应用一个OpenSSH这样的安全应用来为传送的数据建立一个安全的加密“通道”，以关闭这一漏洞。以这种形式加密客户和服务器连接可使未授权用户极难查阅往来的数据。

　　◆禁止远程访问

　　假如用户无需远程访问服务器，您能够迫使任何MySQL连接通过UNIX插槽文档来完成，从而大大减少网络受攻击的风险。这一过程可通过跳过网络选项启动服务器来完成。这样能够阻止TCP/IP网络连接到MySQL上，确保没有用户能够远程连接系统。

　　建议：能够在MySQL服务器配置中添加捆绑地址127.0.0.1指令来增强这一功能，迫使MySQL捆绑当地机器的IP地址来确保只有同一系统中的用户能够连接到MySQL。

　　◆积极监控MySQL访问记录

　　MySQL中带有很多不同的日志文档，他们记录客户连接，查询和服务器错误。其中，最重要的是一般查询日志，他用时间标签记录每名客户的连接和中断时间，并记录客户执行的每个查询。假如您怀疑发生了不寻常的行为，如网络入侵，那么监控这个日志以了解行为的来源是个好方法。

　　保护您的MySQL数据库是个日常工作。因此，即使完成了上述步骤，也还需要您利用更多的时间去了解更多的安全建议，积极监控并更新您的系统安全。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有