與自動的數據庫備份不同,對系統管理員來說,保護數據免受未授權用戶的侵犯需要采取一定的行動。如果你用的是mysql,就可以使用一些方便的功能來保護系統,來大大減少機密數據被未授權用戶訪問的風險。
企業最有價值的資產通常是其數據庫中的客戶或產品信息。因此,在這些企業中,數據庫管理的一個重要部分就是保護這些數據免受外部攻擊,及修復軟/硬件故障。
在大多數情況下,軟硬件故障通過數據備份機制來處理。多數數據庫都自帶有內置的工具自動完成整個過程,所以這方面的工作相對輕松,也不會出錯。但麻煩卻來自另一面:阻止外來黑客入侵竊取或破壞數據庫中的信息。不幸的是,一般沒有自動工具解決這一問題;而且,這需要管理員手工設置障礙來阻止黑客,確保公司數據的安全。
不對數據庫進行保護的常見原因是由於這一工作“麻煩”而“復雜”。這確實是事實,但如果你應用mysql,就可以使用一些方便的功能來顯著減少面臨的風險。下面列出了六項功能:
第一步:刪除授權表中的通配符
mysql訪問控制系統通過一系列所謂的授權表運行,從而對數據庫、表格或欄目級別的用戶訪問權利進行定義。但這些表格允許管理員為一名用戶設定一攬子許可,或一組應用通配符的表格。這樣做會有潛在的危險,因為黑客可能會利用一個受限的賬戶來訪問系統的其他部分。由於這一原因,在設置用戶特權時要謹慎,始終保證用戶只能訪問他們所需的內容。在給個別用戶設定超級特權時要尤其小心,因為這種級別允許普通用戶修改服務器的基本配置,並訪問整個數據庫。
建議:對每個用戶賬戶應用顯示特權命令,以審查授權表,了解應用通配符許可是否恰當。
第二步:要求使用安全密碼
用戶賬號的安全與用來保護它們的密碼密切相關。因此,在安裝mysql時第一件事就應該設置mysql根賬號的密碼(默認為空)。修復這一漏洞後,接下來就應要求每個用戶賬號使用一個密碼,且不要使用生日、用戶名或字典中的單詞這些容易識別的啟發式密碼。
建議:應用mysql-安全-授權選項避免使用舊的,不大安全的mysql密碼格式。
第三步:檢查配置文件許可
一般來說,要使服務器連接更為快速方便,單個用戶和服務器管理員必須把他們的用戶賬號密碼存儲在單用戶mysql選項文件中。但是,這種密碼是以純文本形式存儲在文件中的,很容易就可以查閱。因此,必須保證這樣的單用戶配置文件不被系統中的其他用戶查閱,且將它存儲在非公共的位置。理想情況下,你希望單用戶配置文件保存在用戶的根目錄,許可為0600。
第四步:加密客戶與服務器之間數據傳送
mysql(及其它)客戶與服務器構架的一個重要問題就是通過網絡傳送數據時的安全問題。如果客戶與服務器間的交互以純文本形式發生,黑客就可能“嗅出”被傳送的數據包,從而獲得機密信息。你可以通過激活mysql配置中的ssl,或應用一個openssh這樣的安全應用來為傳送的數據建立一個安全的加密“通道”,以關閉這一漏洞。以這種形式加密客戶與服務器連接可使未授權用戶極難查閱往來的數據。
第五步:禁止遠程訪問
如果用戶不需要遠程訪問服務器,你可以迫使所有mysql連接通過unix插槽文件來完成,從而大大減少網絡受攻擊的風險。這一過程可通過跳過網絡選項啟動服務器來完成。這樣可以阻止tcp/ip網絡連接到mysql上,保證沒有用戶可以遠程連接系統。
建議:可以在mysql服務器配置中添加捆綁地址127.0.0.1指令來增強這一功能,迫使mysql捆綁當地機器的ip地址來保證只有同一系統中的用戶可以連接到mysql。
第六步:積極監控mysql訪問記錄
mysql帶有許多不同的日志文件,它們記錄客戶連接,查詢和服務器錯誤。其中,最重要的是一般查詢日志,它用時間標簽記錄每名客戶的連接和中斷時間,並記錄客戶執行的每個查詢。如果你懷疑發生了不尋常的行為,如網絡入侵,那麼監控這個日志以了解行為的來源是個好方法。
保護你的mysql數據庫是一個日常工作。因此,即使完成了上述步驟,你也不應松懈,了解更多安全建議,積極監控並更新系統安全。
