Linux下MySQL数据库安全配置指南.doc

Linux 下下 MySQL 数据库数据库 安全配置指南安全配置指南 目目 录录 1MYSQL 数据库安装 3 2安装后的安全设置 3 3日常管理安全提示 4 3 1登陆 MYSQL 服务器时保护密码 4 3 2使用 SSL 登陆 MYSQL 服务器 4 3 3保证数据文件安全 5 3 4正确配置用户权限 5 3 6密码丢失后重新设置 6 3 7MYSQL 服务端MYSQLD SAFE安全相关的选项 6 LinuxLinux 下下 MySQLMySQL 数据库安全配置指南数据库安全配置指南 操作系统 Redhat Linux Enterprise Linux 5 MySQL 版本 5 0 22 2 1 1 1MySQLMySQL 数据库安装数据库安装 请以 root 登陆 或使用 su 命令取得 root 之执行权限 插入 Redhat Linux Enterprise Linux 5 Disk 2 挂载光驱 此处实例光驱路径为 dev hdc mount dev hdc mnt 进入 RPM 包所在目录 cd mnt Server 安装 MySQL 及其依赖包 rpm ivh perl DBI 1 52 1 fc6 i386 rpm rpm ivh mysql 5 0 22 2 1 i386 rpm rpm ivh perl DBD MySQL 3 0007 1 fc6 i386 rpm rpm ivh mysql server 5 0 22 2 1 i386 rpm 数据库安装完毕以后 启动数据库进程 etc init d mysqld start 检验数据库实例是否成功运行 查看是否监听端口 3306 netstat an grep 3306 2 2安装后的安全设置安装后的安全设置 数据库超级用户 root 的初始密码为空 故需要即刻修改需要即刻修改 以 root 之身份登陆数据库 mysql u root p 修改密码 示例密码为 mypasswd mysql update mysql user set password password mypasswd where user root mysql commit mysql flush privileges 删除系统默认存在的匿名用户 delete from user where user 删除系统默认示例数据库 test mysql drop database test 3 3日常管理安全提示日常管理安全提示 3 1登陆 MySQL 服务器时保护密码 使用 MySQL 客户端登陆 MySQL 服务器有多种方式 这种方式将密码明文暴露 并且会在 bash history 文件中留下记录 易遭窃取 mysql u root p mypasswd 请使用一下的形式 在 MySQL 提示输入密码时方输入密码 mysql u root p 3 2使用 SSL 登陆 MySQL 服务器 必要时 可以使用安全套接字连接登陆服务器 或使用 SSH 登陆 mysql u root p ssl 3 3保证数据文件安全 在 Redhat Enterprise Linux 中 MySQL 的数据文件默认存放于 var lib mysql 目录中 请确认目录的权限设置正确 只有被允许的用户才有读取与写入的权限 如下面的展示的 目录 mysql 以及 test 库数据文件存放目录的权限为 700 drwx 意味着其他 用户没有读写权限 保证了数据安全 cd var lib mysql ls l total 20552 rw rw 1 mysql mysql 10485760 Jul 14 18 08 ibdata1 rw rw 1 mysql mysql 5242880 Jul 14 18 08 ib logfile0 rw rw 1 mysql mysql 5242880 Jul 14 18 08 ib logfile1 drwx 2 mysql mysql 4096 Jul 14 18 08 mysql srwxrwxrwx 1 mysql mysql 0 Jul 14 18 08 mysql sock drwx 2 mysql mysql 4096 Jul 14 18 08 test 3 4正确配置用户权限 使用 MySQL 提供的 GRANT 以及 REVOKE 语句控制用户权限 除管理员以外 其他用户帐号 不能具有访问 mysql 库的权限 3 5保证 mysql history 文件安全 在每个用户 home 目录下都会产生 mysql history 文件 以保存在 MySQL 中执行 SQL 语句 的历史记录 请确认该文件的权限为 700 如果权限非 700 可以用一下命令设置 chmod 700 mysql history 3 6密码丢失后重新设置 丢失 root 账户密码后 可以以 skip grant tables 参数启动 MySQL 服务端 登陆后重 新设置密码 mysqld safe skip grant tables mysql mysql update mysql user set password password mypasswd where user root 3 7MySQL 服务端 mysqld safe 安全相关的选项 skip name resolve 主机名不被解析 所有在授权表的 Host 的列值必须是 IP 号或 localhost skip networking 在网络上不允许 TCP IP 连接 所有到 mysqld 的连接必须经由 Unix 套接字进行 skip show database 使用该选项 只允许有 SHOW DATABAS