本文整理自网络,侵删。
导读
MySQL被运用于越来越多的业务中,在关键业务中对数据安全性的要求也更高,如何保证MySQL的数据安全?
数据安全如果只靠MySQL应用层面显然是不够的,是需要在多个层面来保护的,包括网络、系统、逻辑应用层、数据库层等。
下面是我们可借鉴的一些安全策略。
1、网络、系统层面
在这个层面可以做很多的事情,我们可以把这些安全要求作为新系统安装时的标准要求,放到自动化装机方案中。
把运行MySQL的服务器放在内网中,不要启用公网;
迫不得已启用公网的话,修改sshd端口到10000以上;
设置防火墙策略,只允许信任的服务器连接sshd和MySQL端口;
修改idrac/imm密码,设置GRUB密码;
设置密码安全策略,比如要求 PASS_MIN_LEN 不低于8位,其实最好是直接用一个复杂密码做MD5之后再作为正式密码,32位长度的安全程度够高吧;
将操作日志记入syslog并且发送到远程log server上,坚决不能只存储在本地;
除了必须的账号,其他的都设为无登入权限;
尽量把运行MySQL的服务器独立出来,不要和web server、app server放一起。必须放一起的话,也要设置好权限分离,不允许web server、app server进程的属主有直接访问MySQL datadir的权限;
禁用web server层的autoindex配置;
可能的话,采用https代替http;
关键应用保持更新,避免老版本的漏洞风险;
设置nginx、php等应用服务的安全策略,禁用危险函数等;
可以考虑购买运营商提供的一些安全防护、扫描器等产品;
坚决杜绝二逼行为,把关键配置文件上传到公共网络上(如把公司项目代码放在github上作为个人项目,内含内网账号密码信息)。
2、逻辑应用层
在这个层面,等多的是依赖运营及开发人员的安全意识,很多本可以避免的低级安全漏洞完全可以在这个层面处理掉,比如下面提到的XSS、CSRF、SQL注入等漏洞。
尽量不要在公网上使用开源的cms、blog、论坛等系统,除非做过代码安全审计,或者事先做好安全策略。这类系统一般都是黑客重点研究对象,很容易被搞;
相关阅读 >>
更多相关阅读请进入《mysql》频道 >>
数据库系统概念 第6版
本书主要讲述了数据模型、基于对象的数据库和XML、数据存储和查询、事务管理、体系结构等方面的内容。
