zoukankan      html  css  js  c++  java
  • LANMP安全配置之MySQL安全配置

    0x00 前言

    上周学习了一下LANMP安全配置之Apache安全配置
    用的最多的数据库就是MySQL了
    所以这周继续学习一下MySQL安全配置
    还是参考《PHP Web安全开发实战》一书,再做一些补充

    0x01 密码设置

    安装成功后第一件事就是改root默认密码,然后设置复杂密码

    • 5.5以前,rpm包安装完MySQL后,root用户密码为空
    • 5.6中,rpm包安装完MySQL后,会随机生成一个root密码,保存在/root/.mysql_secret
    • 5.7以后,使用mysqld --initialize初始化时,默认会自动生成随机密码,并且不创建除root@localhost 外的其他账号,也不创建test库;

    0x02 权限安全

    在了解权限分配之前
    先了解以下MySQL下的几个控制权限的表

    1. USER 可列出可以连接服务器的用户及其口令,并且指定有哪种全局权限。这里指定的权限适用于所有数据库。
    2. DB 列出数据库。这里指定的权限适用于所有某个数据库的所有表。
    3. HOST 控制特定主机对数据库的访问权限
    4. TABLES_PRIV 制定表级权限。这里指定的权限适用于某个表的所有列。
    5. COLUMNS_PRIV 制定列级权限。这里指定的权限适用于某个表的所有特定列。

    另外 INFORMATION_SCHEMA也保存一些权限信息,是为DBA提供元数据的一种方式,但它实际上是一个视图,不是表。

    再了解一下权限分配验证流程
    PHP与数据库进行连接登录时
    第一步,身份认证。先从USER表判断IP用户名密码是否存在
    第二步,权限分配。按照USER->DB->TABLES_ PRIV->COLUMNS_PRIV的顺序进行梯级验证。
    验证过程中,如果USER表中对应权限为Y,则此用户对所有数据库的权限全为Y,将不再验证DB、TABLES_ PRIVH和COLUMNS_PRIV;如果为N,则往下一级(DB)进行验证。

    所以MySQL中的权限安全配置
    (1)针对每个网站建立一个单独的账户
    (2)为每个网站单独建立一个专属数据库
    (3)按照user->db->tables_priv->columns_pri的顺序进行细粒度的权限控制
    (4)为每个用户单独配置一个专属数据库,保证当前用户的所有操作只能发生在它自己的数据库中,防止SQL注入发生后,黑客通过注入点访问到系统表

    0x03 网络配置

    MySQL默认使用3306端口
    1.限制IP
    对于MYSQL的限制访问IP,可从两个方面达到目的
    (1)主机层
    Windows下,可通过Windows防火墙
    Linux下,可通过iptables来限制允许访问的IP
    Eg:只允许192.168.1.0网段进行访问

    iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -j ACCEPT
    iptables -P INPUT DROP
    

    (2)应用层
    在USER表中限制root账户只能在本机登录
    如图

    2.修改端口
    Windows,在MySQL配置文件my.ini中设置
    Linux,MySQL配置文件为my.cnf

    port = 3306
    

    在这里插入图片描述
    3.限制单个用户的连接数量
    更改my.ini中max_connections=值,保存文件,重启mysql服务。
    在这里插入图片描述

    0x04 MySQL日志

    启动MySQL日志来帮助加固MySQL安全
    MySQL下有以下几种日志

    • 错误日志:log-error="/logs/mysql.log"
    • 查询日志:log="/logs/mysql.log"
    • 慢查询日志:log-show-queries="/logs/mysql_show.log"
    • 更新日志:log-update="/logs/mysql_update.log"
    • 二进制日志:log-bin="/logs/bin"

    查看日志是否开启命令:

    show variable like 'log_%';
    
  • 相关阅读:
    July 08th. 2018, Week 28th. Sunday
    July 07th. 2018, Week 27th. Saturday
    兄弟组件bus传值
    vue 父子组件传值
    路由传值的三种方式
    jQuery 操作表格
    原生js实现开关功能
    跨域解决方法
    正则判断密码难度
    cookie封装函数
  • 原文地址:https://www.cnblogs.com/0nc3/p/12063456.html
Copyright © 2011-2022 走看看