数据库安全防护几点介绍
作者:樊斌 来源:IT专家网 发布时间:2009-03-16 16:42:00
企业最有价值的资产通常是其数据库中的客户或产品信息。因此,在这些企业中,数据库管理的一个重要部分就是保护这些数据免受外部攻击,及修复软/硬件故障。
在大多数情况下,软硬件故障通过数据备份机制来处理。多数数据库都自带有内置的工具自动完成整个过程,所以这方面的工作相对轻松,也不会出错。但麻烦却来自另一面:阻止外来黑客入侵窃取或破坏数据库中的信息。不幸的是,一般没有自动工具解决这一问题;而且,这需要管理员手工设置障碍来阻止黑客,确保公司数据的安全。
不对数据库进行保护的常见原因是由于这一工作“麻烦”而“复杂”。这确实是事实,但如果你应用MySQL,就可以使用一些方便的功能来显著减少面临的风险。下面列出了以下几个功能:
删除授权表中的通配符
MySQL访问控制系统通过一系列所谓的授权表运行,从而对数据库、表格或栏目级别的用户访问权利进行定义。但这些表格允许管理员为一名用户设定一揽子许可,或一组应用通配符的表格。这样做会有潜在的危险,因为黑客可能会利用一个受限的账户来访问系统的其他部分。由于这一原因,在设置用户特权时要谨慎,始终保证用户只能访问他们所需的内容。在给个别用户设定超级特权时要尤其小心,因为这种级别允许普通用户修改服务器的基本配置,并访问整个数据库。
建议:对每个用户账户应用显示特权命令,以审查授权表,了解应用通配符许可是否恰当。
要求使用安全密码
用户账号的安全与用来保护它们的密码密切相关。因此,在安装MySQL时第一件事就应该设置MySQL根账号的密码(默认为空)。修复这一漏洞后,接下来就应要求每个用户账号使用一个密码,且不要使用生日、用户名或字典中的单词这些容易识别的启发式密码。
建议:应用MySQL-安全-授权选项避免使用旧的,不大安全的MySQL密码格式。
检查配置文件许可
一般来说,要使服务器连接更为快速方便,单个用户和服务器管理员必须把他们的用户账号密码存储在单用户MySQL选项文件中。但是,这种密码是以纯文本形式存储在文件中的,很容易就可以查阅。因此,必须保证这样的单用户配置文件不被系统中的其他用户查阅,且将它存储在非公共的位置。理想情况下,你希望单用户配置文件保存在用户的根目录,许可为0600。
加密客户与服务器之间数据传送
MySQL(及其它)客户与服务器构架的一个重要问题就是通过网络传送数据时的安全问题。如果客户与服务器间的交互以纯文本形式发生,黑客就可能“嗅出”被传送的数据包,从而获得机密信息。你可以通过激活MySQL配置中的SSL,或应用一个OpenSSH这样的安全应用来为传送的数据建立一个安全的加密“通道”,以关闭这一漏洞。以这种形式加密客户与服务器连接可使未授权用户极难查阅往来的数据。
禁止远程访问
如果用户不需要远程访问服务器,你可以迫使所有MySQL连接通过UNIX插槽文件来完成,从而大大减少网络受攻击的风险。这一过程可通过跳过网络选项启动服务器来完成。这样可以阻止TCP/IP网络连接到MySQL上,保证没有用户可以远程连接系统。
建议:可以在MySQL服务器配置中添加捆绑地址127.0.0.1指令来增强这一功能,迫使MySQL捆绑当地机器的IP地址来保证只有同一系统中的用户可以连接到MySQL。
积极监控MySQL访问记录
MySQL中带有很多不同的日志文件,它们记录客户连接,查询和服务器错误。其中,最重要的是一般查询日志,它用时间标签记录每名客户的连接和中断时间,并记录客户执行的每个查询。如果你怀疑发生了不寻常的行为,如网络入侵,那么监控这个日志以了解行为的来源是个好方法。
保护你的MySQL数据库是一个日常工作。因此,即使完成了上述步骤,也还需要你利用更多的时间去了解更多的安全建议,积极监控并更新你的系统安全。
猜你喜欢
- 4、打开审核策略开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的
- 禁用不明服务一些基本的命令往往可以在保护网路安全上起到很大的作用,下面几条命令的作用就非常突出。一、检测网络连接如果你怀疑自己的计算机上被别
- 昨天,淘宝网透露将再次向炒作信誉的黑色产业链宣战,将联合 * 、工商等部门打击外部炒信网站,力图从源头上掐断炒信黑色产业链。据悉,这是淘宝网针
- 关于优化说起优化,其实最好的优化就是提升硬件的配置,例如提高cpu的运算能力,提高内存的容量,个人认为如果你考虑升级硬件的话,建议优先提高内
- “企业的成功在于其创造力、想象力、大胆的尝试及富于幻想的激情”,这是吉姆·柯林
- 执行apt-get install xxxx时,报以下错误E: There are problems and -y was used wit
- 如何选择正确的方式上网,直白地说,就是以下几点:要使虚拟机能连接互联网,并且外部网络或局域网能访问到虚拟机(独立公网 IP 或局域网 IP)
- 两年前,我曾经写过一篇文章《Google和百度收录网站页面的比较》(发布于2006年4月17日《计算机世界》),分析当时情况下百度和Goog
- 下面是使用服务形式启动tomcat6.0的内存配置方法:D:\Program Files\Apache Software Foundatio
- 大约一周前,Google正式宣布,已经开始在搜索结果排序中考虑网站的网速。这个很久之前就在站长圈传开的消息,终于得到了证实。为了测试网页加载
- 在中国古代有这么一则小故事,说的是一位青年胸怀大志,但不拘小节,蜗居斗室。友人来访,看到这个场景说,你这的卫生为什么搞的这么烂啊?青年回答:
- Linux操作系统以其独有的开放性、稳定性、高效率等特点,受到越来越多有识之士的青睐。随着IT产业巨头纷纷宣布对Linux的支持,Linux
- 随着CMS的出现,做站长变成了一件很容易的事情了。在2008年,各大CMS基本上都开发了新的版本,而且开源的队伍是越来越强大了。经过了过去的
- Flickr今天宣布将支持开放街道地图(OpenStreetMap,OSM)网站的标签。OSM是一家类似维基的地图网站,允许用户创建和编辑地
- 在SEO过程中,域名与虚拟主机的选择有时也会起到一定作用,尤其是高手过招,胜负往往就在小细节上。选择域名和虚拟主机,是建站伊始就要实施的工作
- 通常我们是在{$apache}/conf/httpd.conf中设置Apache的参数,然而我们并没有发现可以设置日志文件大小的配置指令,通
- DoS即Denial Of Service,拒绝服务的缩写。DoS是指故意攻击网络协议实现的缺陷,或直接通过野蛮手段耗尽被攻击对象的资源,目
- 有时候搭建集群机器是,需要在多台机器中间相互拷贝文件,一种方式是同事sftp拷贝到本机,再分别拷贝到其他服务器上。这里介绍一种直接在两台服务
- Linux已受到越来越多的用户喜爱,为什么它能发展如此之快,而且还广受欢迎呢?安全、方便维护、易使用、免费......这些都是证明Linux
- 如果您使用Linux,可千万要记得不要让傻孩子们敲入以下命令,尽管这些命令看上去相当复杂,但还是会对你的系统造成严重影响.有一些会影响你的程