MySQL安全配置
MySQL_Help_Link
1 安全策略
1.1 管理意義上的數據安全
訪問 MySQL 數據庫必須首先訪問數據庫的某個權限、即以某個權限模式用戶的身份登錄,大部分的安全管理主要通過模式用戶的權限來實現。
MySQL 的相關權限信息主要存放在 grant tables 的系統表中,即 mysql.User(全局級別權限) 、 mysql.db (數據庫級別權限)、 mysql.Host(數據庫級別權限) 、mysql.table_priv(表級別權限) 和、 mysql.column_pr(列級別權限)表中, MySQL 啟動時裝入內存。應盡量使用 GRANT 、REVOKE 、CREATE USER 及 DROP USER 來進行用戶和權限的變更操作。如 :GRANT SELECT.UPDATE,DELETE,INSERT,EXECUTE ON test_shop.* TO ‘ test_guest ‘@’localhost’;
查看某用戶權限,如 SHOW GRANTS FOR ‘test_guest’@’ localhost ‘
1.2 防范故障角度的數據安全
數據文件是操作系統級的對象,因此一般來講具有相當的脆弱性、而且依賴于操作系統的性能特點。由于磁盤介質的因素、一個大的數據文件上個別數據塊的損壞可能導致整個數據文件的不可用,這對一個系統來說是災難性的,而且大的表空間或數據文件的恢復是困難和耗時的。
巨大對象的分區在性能角度之外也有安全的因素,當磁盤錯誤使一個巨大表中一個單獨的數據塊不能讀寫時可能導致整個表不可用,必須恢復包含該表的整個表空間。
考慮到數據倉庫問題。可以進行以下操作:
對數據量大且不進行寫操作的表,使用 myisampack 工具,生成壓縮、只讀 MyISAM 表。可以壓縮 40% - 50% 的表文件空間。具體操作如下:
A 壓縮文件: >myisampack ../data/music_shop/ 表名 .MYI
B 重建索引: >myisamchk -rq --sort-index --analyze../data/test_shop/ 表名 .MYI
C 強制 mysqld 使用新表: > mysqladmin flush-tables
如果要進行寫操作,可以解壓縮一個壓縮的表,恢復原有狀態,使用 myisamchk 。 如: myisamchk --unpack ../data/music_shop/ 表名 .MYI
最后,系統上線后,隨著數據量的增加,會發現數據目錄下的磁盤空間越來越下,造成安全隱患。可以采取兩種措施。一種針對 MyISAM 存儲引擎的表,在建表時分別指定數據目錄和索引目錄到不同的磁盤空間,而默認會同時放在數據目錄下。另外一種針對 InnoDB 存儲引擎的表,因為數據文件和索引文件在一起的,所以無法將它們分離。當磁盤空間不足時,可以增加一個新的數據文件,這個文件放在有充足空間的磁盤上。具體請查閱參數innodb_data_file_path 設置。
1.3 容災與備份機制
建立主從數據庫集群,采用 MySQL 復制
MySQL 復制的優點:
1 如果主服務器出現問題,可以快速切換到從服務器;
2 可以在從服務器上執行查詢操作,降低主服務器的訪問壓力;
3 可以在從服務器上執行備份,以避免備份期間影響主服務器的;
應注意的問題:
由于實現的是異步的復制,所以主從服務器之間存在一定的差距。在從服務器上進行的查詢操作要考慮到這些數據的差異,一般只有對實時性要求不高的數據可以通過從服務器查詢。
定期備份文件與數據,通過各種方式保存文件與數據。
以下是幾點防范的措施:
制定一份數據庫備份 / 恢復計劃,并對計劃進行仔細測試。
啟動數據庫服務器的二進制變更日志,該功能的系統開銷很小 ( 約為 1%) ,二進制日志包含備份后進行的所有更新,我們沒有理由不這樣做。(log-bin=file,file可以不指定)
定期檢查數據表,防范于未燃。
定期對備份文件進行備份,以防備份文件失效。
把 MySQL 的數據目錄和備份文件分別放到兩個不同的驅動器中,以平衡磁盤 I/O 和增加數據的安全。
2 安全隱患
2.1 正確設置目錄權限
設置目錄權限的原則是軟件和數據分開,具體如下:
1. 將 mysql 安裝在單獨的用戶下
2. 安裝時,以 root 用戶進行安裝,mysql 的軟件默認都為 root 權限
3. 安裝完畢后,將數據目錄權限設置為實際運行 mysql 的用戶權限,比如:
Chown –R mysql:mysql /home/mysql/data
2.2 盡量避免以 root 權限運行 mysql
將 4.1 的目錄權限設置完畢后,啟動、停止 mysql 以及日常的維護工作都可以在
mysql 用戶下進行,沒有必要 su 到 root 后再用—user=mysql 來啟動和關閉 mysql,
這樣就沒有必要授權維護人員 root 權限,而且最重要的一定是因為任何具有 FILE權限的用戶能夠用 root 創建文件。
2.3 刪除匿名賬號
有些版本的 MySQL 安裝完之后會安裝一個空賬號( User = ‘‘ ),此賬號對 test 數據庫有完全權限,為避免此賬號登陸后,建立大表,占用磁盤空間,影響系統安全,建議刪除
drop user ''@'localhost';
drop user ''@' localhost.localdomain’;
2.4 給 root 賬號設置口令
建議以一句話的拼音為口令。如 SET PASSWORD=PASSWORD(‘woshiyitiaoyu’)
并且限定只能通過 localhost 訪問。
2.5 只授予賬號必須的權限
如: Grant select,insert,update,delete on tablename to ‘username’@’hostname’
2.6 除 root 外,任何用戶不應有 mysql 庫 user 表的存取權限
如果擁有 mysql 庫中 user 表的存取權限(select、update、insert、delete), 就
可以輕易的增加、修改、刪除其他的用戶權限,造成系統的安全隱患。
如:use mysql;delete from db where user<>‘root’ and db=‘mysql’
2.7 不要把 file 、 process 、或 super 權限授予管理員以外的賬號
會產生保密信息外泄,查看管理員執行的動作,普通用戶執行 kill 命令等嚴重的安全隱患。
FILE 權限可以被濫用于將服務器主機上 MySQL 能讀取的任何文件讀入到數據庫表中。包括任何人可讀的文件和服務器數據目錄中的文件。可以使用 SELECT 訪問數據庫表,然后將其內容傳輸到客戶端上。不要向非管理用戶授予 FILE 權限。
有這權限的任何用戶能在擁有 mysqld 守護進程權限的文件系統那里寫一個文件!為了更加安全,由 SELECT ... INTO OUTFILE 生成的所有文件對每個人是可寫的,并且你不能覆蓋已經存在的文件。
file 權限也可以被用來讀取任何作為運行服務器的 Unix 用戶可讀取或訪問的文件。使用該權限,你可以將任何文件讀入數據庫表。這可能被濫用,例如,通過使用 LOADDATA 裝載“/etc/passwd”進一個數據庫表,然后能用 SELECT 顯示它。PROCESS 權限能被用來察看當前執行的查詢的明文文本,包括設定或改變密碼的查詢。
SUPER 權限能用來終止其它用戶或更改服務器的操作方式。比如 kill 進程不要將 PROCESS 或 SUPER 權限授給非管理用戶。mysqladmin processlist 的輸出顯示出當前執行的查詢正文,如果另外的用戶發出一個 UPDATE user SETpassword=PASSWORD('not_secure')查詢,被允許執行那個命令的任何用戶可能看得到
2.8 LOAD DATA LOCAL 帶來的安全問題
由 MySQL 服務器啟動文件從客戶端向服務器主機的傳輸。理論上,打過補丁的服務器可以告訴客戶端程序傳輸服務器選擇的文件,而不是客戶用LOAD DATA 語句
指定的文件。這樣服務器可以訪問客戶端上客戶有讀訪問權限的任何文件。
在 Web 環境中,客戶從 Web 服務器連接,用戶可以使用 LOAD DATA LOCAL 來讀取 Web 服務器進程有讀訪問權限的任何文件(假定用戶可以運行 SQL 服務器的任何命令)。在這種環境中,MySQL 服務器的客戶實際上是 Web 服務器,而不是連接 Web 服
務器的用戶運行的程序。
解決方法:
可以用--local-infile=0 選項啟動 mysqld 從服務器端禁用所有 LOAD DATA
LOCAL 命令。
對于 mysql 命令行客戶端,可以通過指定--local-infile[=1]選項啟用 LOAD
DATA LOCAL,或通過--local-infile=0 選項禁用。類似地,對于 mysqlimport,--local or -L 選項啟用本地數據文件裝載。在任何情況下,成功進行本地裝載需要服務器啟用相關選項。
2.9 使用 MERGE 存儲引擎潛藏的安全漏洞
Merge 表在某些版本中可能存在以下安全漏洞:
用戶 A 賦予表 T 的權限給用戶 B
用戶 B 創建一個包含 T 的 merge 表,做各種操作
用戶 A 收回對 T 的權限
安全隱患:用戶 B 通過 merge 表仍然可以訪問表 A 中的數據
#p#
2.10 盡量避免通過 symlinks 訪問表
不要允許使用表的符號鏈接。(可以用--skip-symbolic-links 選項禁用)。如果 你
用 root 運行 mysqld 則特別重要,因為任何對服務器的數據目錄有寫訪問權限的人
則能夠刪除系統中的任何文件!
2.11 防止 DNS 欺騙
如果你不信任你的 DNS,你應該在授權表中使用 IP 數字而不是主機名。在任何情況下,你應該非常小心地使用包含通配符的主機名來創建 授權表條目!
2.12 DROP TABLE 命令并不收回以前的相關訪問授權
drop 表的時候,其他用戶對此表的權限并沒有被收回,這樣導致重新創建同名的表時,以前其他用戶對此表的權限會自動賦予,導致權限外流。
因此,要在刪除表時,同時取消其他用戶在此表上的相應權限。
2.13 REVOKE 命令漏洞
grant all privileges on *.* to guest@localhost; 后
revoke all privileges on *.* from guest@localhost; 不起作用,必須針對每個數據單獨使用 revoke
2.14 如果可能,給所有用戶加上訪問 IP 限制
給所有用戶加上 ip 限制將拒絕所有未知的主機進行的連接,保證只有受信任的主
機才可以進行連接。例如:
Grant select on dbname.* to ‘username’@’ip’ identified by ’passwd’;
2.15 嚴格控制操作系統帳號和權限
在數據庫服務器上要嚴格控制操作系統的帳號和權限,比如:
鎖定 mysql 用戶
其他任何用戶都采取獨立的帳號登陸,管理員通過普通用戶管理 mysql;或者通過 root su到 mysql 用戶下進行管理。
禁止修改 mysql 用戶下的任何資源
2.16 增加防火墻
購買防火墻。這樣可以保護你防范各種軟件中至少 50%的各種類型的攻擊。把MySQL放到防火墻后或隔離區(DMZ)
2.17 嚴格模式
sql-mode="STRICT_TRANS_TABLES,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION"
2.18 限制MYSQL的訪問目錄
--chroot
2.19 防止在連接MYSQL是使用TCP/IP套接字
--skip-networking
2.20 防止連接到MYSQL數據庫時使用主機名
--skip-name-resolve
2.21 防止沒有SHOW DATABASES權限的用戶使用此命令
--skip-show-database
2.22 如果對user表沒有INSERT權限,可以防止這些用戶通過GRANT命令創建用戶
--safe-user-create
3 其他安全配置
MySQL 本身帶有一些選項,適當的使用這些選項將會使數據庫更加安全。
3.1 使用 skip-network
在網絡上不允許 TCP/IP 連接,所有到數據庫的連接必須由命名管道 (Named Pipes) 或共享內存(Shared Memory) 或 UNIX 套接字 SOCKET 文件進行。這個選項適合應用和數據庫共用一臺服務器的情況,其他客戶端將無法通過網絡遠程訪問數據庫,大大增強了數據庫的安全性,但同時也帶來了管理維護上的不方便。 MySQL 僅能通過命名管道或共享內存 ( 在 widows 中 ) 或 Unix 套接字文件 ( 在 Unix 系統中 ) 來和客戶端連接交互。以下為配置實例:
skip-networking
-S 是 --socket 的簡寫形式,如: -s /tmp/mysql.sock,而其值必須和服務端設置的相同
--protocol 是嚴格指定連接類型,如果一些設置使用默認值時,如windows下服務器端設置--socket=mysql(mysql是默認值),在連接時指定 --protocol=pipe 后 --socket=mysql 可省略指定。
1. 命名管道
只適合在 Windows 系統下用來連接本機的 MySQL ,性能可比一般的TCP/IP方式提升30%~50%。
服務端設置要求
enable-named-pipe #或 named_pipe=ON
socket=MySQL
客戶端連接
mysql --protocol=pipe --socket=mysql
2. 共享內存
4.1版本后,mysql對windows系統還提供了共享內存方式的連接
服務端設置要求
shared-memory=ON
shared_memory_base_name=MYSQL
客戶端連接
mysql --protocol=memory --shared-memory-base-name=mysql
3. UNIX套接字
linux和unix環境下,可以使用unix域套接字,來連接同在一臺機器上的mysql;
服務端設置要求
socket=/tmp/mysql.sock
客戶端連接
mysql --protocol=socket --socket=/tmp/mysql.sock
3.2 allow-suspicious-udfs
該選項控制是否可以載入主函數只有 xxx 符的用戶定義函數。默認情況下,該選項被關閉,并且只能載入至少有輔助符的 UDF。這樣可以防止從未包含合法 UDF 的共享對象文件載入函數。
3.3 old-passwords
強制服務器為新密碼生成短(pre-4.1)密碼哈希。當服務器必須支持舊版本客戶端程序時,為了保證兼容性這很有用。
3.4 safe-user-create
如果啟用, 用戶不能用 GRANT 語句創建新用戶,除非用戶有 mysql.user 表的 INSERT
權限。如果你想讓用戶具有授權權限來創建新用戶,你應給用戶授予下面的權限:
mysql> GRANT INSERT(user) ON mysql.user TO 'user_name '@'host_name';
這樣確保用戶不能直接更改權限列,必須使用 GRANT 語句給其它用戶授予該權限。
3.5 secure-auth
不允許鑒定有舊(pre-4.1)密碼的賬戶
3.6 skip-grant-tables
這個選項導致服務器根本不使用權限系統。這給每個人以完全訪問所有的數據庫的權力!(通過執行 mysqladmin flush-privileges 或 mysqladmin reload 命令,或執行 FLUSH PRIVILEGES 語句,你能告訴一個正在運行的服務器再次開始使用授權表 。 )
3.7 skip-show-database
使用該選項,只允許有 SHOW DATABASES 權限的用戶執行 SHOW DATABASES 語句,該
語句顯示所有數據庫名。不使用該選項,允許所有用戶執行 SHOW DATABASES,但
只顯示用戶有 SHOW DATABASES 權限或部分數據庫權限的數據庫名。請注意全局權
限指數據庫的權限。
3.8 使用 SSL
SSL ( Secure Socket Layer 安全套接字)是一種安全協議,最初由 Netscape 公司所開發,用以保障在Internet 上數據傳輸的安全 , 利用數據加密技術,可確保數據在網絡上的傳輸過程中不會被截取。
應用場景,在主從數據庫復制中使用,提供以下服務保障。
a) 認證用戶和服務器,確保數據發送到正確的客戶和服務器。
b) 加密數據以防止數據中途被竊取。
c) 維護數據的完整性,確保數據在傳輸過程中不被破壞。
在 MySql 中使用 SSL 進行安全傳輸,需要在命令行或選項文件中設置 ‘SSL’ 選項。下面以命令行為例,進行安裝介紹。
A. 安裝證書管理工具
a) 所需部件Win32OpenSSL-0_9_8g.exe ,可從網上下載
b) 安裝 雙擊Win32OpenSSL-0_9_8g.exe 按提示進行安裝。安裝在C:\OpenSSL 目錄下
c) 在C:\OpenSSL\bin 目錄下創建root ,server ,client 三個子路徑
d) 在創建證書時輸入的用戶名,密碼請妥善保存
B. 創建根證書,并采用自簽名簽署它
a) 創建私鑰 進入DOS 窗口,進入C:\OpenSSL\bin 路徑,然后輸入openssl genrsa -out root/root-key.pem 1024 命令,按Enter 鍵。
b) 創建證書請求 繼續輸入openssl req -new -out root/root-req.csr -key root/root-key.pem ,然后按Enter 鍵,要求輸入一系列信息,可根據實際情況輸入,但是CommonName :一定要輸入root
c) 自簽署根證書 繼續輸入openssl x509 -req -in root/root-req.csr -out root/root-cert.pem -signkey root/root-key.pem -days 3650 ,然后按Enter 鍵
d) 查看根證書內容 要先進入證書所在路徑 例:C:\OpenSSL\bin\root ,然后輸入keytool -printcert -file root-cert.pem,然后按Enter 鍵。
C. 創建服務器證書,并采用根證書簽署它
a) 創建私鑰 進入DOS 窗口,進入C:\OpenSSL\bin 路徑,然后輸入openssl genrsa -out server/server-key.pem 1024 命令,按Enter 鍵。
b) 創建證書請求 繼續輸入openssl req -new -out server/server-req.csr -key server/server-key.pem ,然后按Enter鍵,要求輸入一系列信息,可根據實際情況輸入,但是CommonName :一定要輸入localhost 或服務器的域名(存在域名情況下)。
c) 簽署服務器證書 繼續輸入openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA root/root-cert.pem -CAkey root/root-key.pem -CAcreateserial -days 3650 ,然后按Enter 鍵。
d) 查看服務器證書內容 要先進入證書所在路徑 例:C:\OpenSSL\bin\server ,然后輸入keytool -printcert -file server-cert.pem ,然后按Enter 鍵。
D. 創建客戶證書,并采用根證書簽署它
a) 創建私鑰 進入DOS 窗口,進入C:\OpenSSL\bin 路徑,然后輸入openssl genrsa -out client/client-key.pem 1024 命令,按Enter 鍵。
b) 創建證書請求 繼續輸入openssl req -new -out client/client-req.csr -key client/client-key.pem ,然后按Enter鍵,要求輸入一系列信息,可根據實際情況輸入,CommonName :輸入用戶ID 。
c) 簽署客戶證書 繼續輸入openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA root/root-cert.pem -CAkey root/root-key.pem -CAcreateserial -days 3650 ,然后按Enter 鍵。
d) 查看客戶證書內容 要先進入證書所在路徑 例:C:\OpenSSL\bin\client ,然后輸入keytool -printcert -file client-cert.pem ,然后按Enter 鍵。
完成以上步驟后,將所生成的證書root 、server 和client 文件夾,拷到C:\mysll 目錄下。 至此,已部署完在啟動服務器時所用的有關選項指明證書文件和密鑰文件。在建立加密連接前,要準備三個文件,一個 CA 證書,是由可信賴第三方出具的證書,用來驗證客戶端和服務器端提供的證書。 CA 證書可向商業機構購買,也可自行生成。第二個文件是證書文件,用于在連接時向對方證明自已身份的文件。第三個文件是密鑰文件,用來對在加密連接上傳輸數據的加密和解密。 MySQL 服務器端的證書文件和密鑰文件必須首先安裝,在 myssl 目錄里的幾個文件:root-cert.pem(CA 證書 ) , server-cert.pem( 服務器證書 ) , server-key.pem( 服務器公共密鑰 ) 。
在主數據庫創建從數據庫操作所用的用戶,并指定必須用SLL 認證。
CREATE USER ‘test_guest’@’localhost’ IDENTIFIED BY ‘1234’;
GRANT ALL PRIVILEGES ON music_shop.* TO ‘ test_guest ‘@’10.12.1.42’ REQUIRE ssl;
關閉主數據庫
>mysqladmin -uroot shutdown
重啟服務器,使配置生效。
>mysqld--ssl-ca=C:\myssl\server\root-cert.pem --ssl-cert=C:\myssl\server\server-cert.pem --ssl-key=C:\myssl\server\server-key.pem
用從數據庫客戶程序建立加密連接。
>mysql -u test_guest --ssl-ca=C:\myssl\client\root-cert.pem --ssl-cert=C:\myssl\client\client-cert.pem --ssl-key=C:\myssl\client\client-key.pem
配置完成后,調用 mysql 程序運行 \s 或 SHOW STATUS LIKE ‘SSL%’ 命令,如果看到 SSL: 的信息行就說明是加密連接了。如果把 SSL 相關的配置寫進選項文件,則默認是加密連接的。也可用 mysql 程序的 --skip-ssl 選項取消加密連接。
