数据库安全防护几点介绍
作者:樊斌 来源:IT专家网 发布时间:2009-03-16 16:42:00
企业最有价值的资产通常是其数据库中的客户或产品信息。因此,在这些企业中,数据库管理的一个重要部分就是保护这些数据免受外部攻击,及修复软/硬件故障。
在大多数情况下,软硬件故障通过数据备份机制来处理。多数数据库都自带有内置的工具自动完成整个过程,所以这方面的工作相对轻松,也不会出错。但麻烦却来自另一面:阻止外来黑客入侵窃取或破坏数据库中的信息。不幸的是,一般没有自动工具解决这一问题;而且,这需要管理员手工设置障碍来阻止黑客,确保公司数据的安全。
不对数据库进行保护的常见原因是由于这一工作“麻烦”而“复杂”。这确实是事实,但如果你应用MySQL,就可以使用一些方便的功能来显著减少面临的风险。下面列出了以下几个功能:
删除授权表中的通配符
MySQL访问控制系统通过一系列所谓的授权表运行,从而对数据库、表格或栏目级别的用户访问权利进行定义。但这些表格允许管理员为一名用户设定一揽子许可,或一组应用通配符的表格。这样做会有潜在的危险,因为黑客可能会利用一个受限的账户来访问系统的其他部分。由于这一原因,在设置用户特权时要谨慎,始终保证用户只能访问他们所需的内容。在给个别用户设定超级特权时要尤其小心,因为这种级别允许普通用户修改服务器的基本配置,并访问整个数据库。
建议:对每个用户账户应用显示特权命令,以审查授权表,了解应用通配符许可是否恰当。
要求使用安全密码
用户账号的安全与用来保护它们的密码密切相关。因此,在安装MySQL时第一件事就应该设置MySQL根账号的密码(默认为空)。修复这一漏洞后,接下来就应要求每个用户账号使用一个密码,且不要使用生日、用户名或字典中的单词这些容易识别的启发式密码。
建议:应用MySQL-安全-授权选项避免使用旧的,不大安全的MySQL密码格式。
检查配置文件许可
一般来说,要使服务器连接更为快速方便,单个用户和服务器管理员必须把他们的用户账号密码存储在单用户MySQL选项文件中。但是,这种密码是以纯文本形式存储在文件中的,很容易就可以查阅。因此,必须保证这样的单用户配置文件不被系统中的其他用户查阅,且将它存储在非公共的位置。理想情况下,你希望单用户配置文件保存在用户的根目录,许可为0600。
加密客户与服务器之间数据传送
MySQL(及其它)客户与服务器构架的一个重要问题就是通过网络传送数据时的安全问题。如果客户与服务器间的交互以纯文本形式发生,黑客就可能“嗅出”被传送的数据包,从而获得机密信息。你可以通过激活MySQL配置中的SSL,或应用一个OpenSSH这样的安全应用来为传送的数据建立一个安全的加密“通道”,以关闭这一漏洞。以这种形式加密客户与服务器连接可使未授权用户极难查阅往来的数据。
禁止远程访问
如果用户不需要远程访问服务器,你可以迫使所有MySQL连接通过UNIX插槽文件来完成,从而大大减少网络受攻击的风险。这一过程可通过跳过网络选项启动服务器来完成。这样可以阻止TCP/IP网络连接到MySQL上,保证没有用户可以远程连接系统。
建议:可以在MySQL服务器配置中添加捆绑地址127.0.0.1指令来增强这一功能,迫使MySQL捆绑当地机器的IP地址来保证只有同一系统中的用户可以连接到MySQL。
积极监控MySQL访问记录
MySQL中带有很多不同的日志文件,它们记录客户连接,查询和服务器错误。其中,最重要的是一般查询日志,它用时间标签记录每名客户的连接和中断时间,并记录客户执行的每个查询。如果你怀疑发生了不寻常的行为,如网络入侵,那么监控这个日志以了解行为的来源是个好方法。
保护你的MySQL数据库是一个日常工作。因此,即使完成了上述步骤,也还需要你利用更多的时间去了解更多的安全建议,积极监控并更新你的系统安全。
猜你喜欢
- 黑帽SEO笼统的说,所有使用作弊手段或可疑手段的,都可以称为黑帽SEO。比如说垃圾链接,隐藏网页,桥页,关键词堆砌等等。近一两年,最典型的黑
- 北京时间9时52分,搜狐公司董事局主席兼首席执行官张朝阳从第十棒火炬手Douglas Jackson手中接过奥运火炬,完成了第11棒火炬手传
- 记住一句话:执行ASP程序的地方不允许写入文件;允许写入文件的地方不允许运行ASP程序.在IIS里,选择不允许写入文件的目录如上传图片的UP
- 11月26日消息,继入股推动在华谊兄弟创业板上市之后,分众传媒CEO江南春有望在创业板梅开二度。天涯社区总裁邢明今天在三亚透露,江南春目前已
- 康盛创想(Comsenz)推出的Manyou开放平台(官方体验地址:http://uchome.developer.manyou.com)与
- 为了方便广大网友从ftp站点查找资料,我们特意向您介绍这份国内大学ftp服务器站点列表,希望对你有用。成都信息工程学院ftp://xsc.c
- 最新消息,康盛创想(Comsenz)官方将推出Discuz! 7.1版本,该版本在继承Discuz! 7.0版本经典基础之上进一步创新和完善
- 对你的数据进行备份是至关重要的,但是如果你不知道如何恢复这些数据,那些备份对你来说根本没有用处。这里是一个用微软系统中心数据保护管理器(DP
- 很久没有在博客上写关于百度seo的内容了,最近发现了百度这样一个现象,百度会根据链接文字修改网站标题。首先我们在百度搜索网易,排在结果中ww
- 1. 介绍本文主要介绍域名(DNS)的一些机制及实现方法,下面我们就具体看一下它的情况。1.1. 域名的历史产生域名的的根本动机在于管理方便
- 给新入行的个人站长10点建议:1. 要目的明晰。弄清楚自己做站是为了赚钱还是为了爱好?如果是前者,做好不赚钱的思想准备,做网站抢钱的时代已经
- Windows2003服务器安装及设置教程好久没有更新了,正好最近上了一台服务器,正好把剩下的几篇补全,今天先说的是MySQL安全篇——将M
- 在WordPress 3.0中增加了自定义菜单功能,如果你在WordPress后台(外观》菜单)创建一个菜单,你可以在主题中使用wp_nav
- 北京时间11月9日早间消息,据国外媒体今日报道,Facebook计划发布一款XMPP(可扩展消息处理现场协议)界面,进入即时通讯领域。Fac
- Google的Adsense广告计划是一个广受欢迎的广告产品,这个产品提供不少网站的最佳网上广告收入来源,关于Adsense的使用技巧方面的
- 网络营销已经成为旅游行业一种至关重要的推广模式,几乎所有的旅行社都拥有自己的网站,综合类的旅游网站也让人目不暇接,竞争之激烈可谓战火纷飞。但
- (文案写作的分享…注定是枯燥+无聊的…幸好大家还是听我讲完了…灰常感谢各位捧场…下面在此汇报汇报…)关于文案的一些定义我找了很多关于文案的各
- WordPress是世界上使用最为广泛PHP博客程序,他拥有近乎无尽的主题和插件,简单易用。他既可以通过各种各样的插件他自己武装成一个CMS
- 内容摘要:Google AdSesne一直在努力寻找、测试新的广告方式,就像上次Simon发现AFC广告组中有连结组的新Googl
- 粗略算下来,阿里妈妈离开张已经有一段时间了,跟一开始的高调宣传有所不同的是,阿里妈妈在做完了前期的网站积累之后,开始了自身消化的过程,炒作的