如何保護MySQL中的重要資料

在日常的工作中，保護資料免受未授權使用者的侵犯是系統管理員特別關心的問題。如果你目前用的是MySQL，就可以使用一些方便的功能來保護系統，來大大減少機密資料被未授權使用者訪問的風險。

企業最有價值的資產通常是其資料庫中的客戶或產品資訊。因此，在這些企業中，資料庫管理的一個重要部分就是保護這些資料免受外部攻擊，及修複軟/硬體故障。

在大多數情況下，軟硬體故障通過資料備份機制來處理。多數資料庫都內建有內建的工具自動完成整個過程，所以這方面的工作相對輕鬆，也不會出錯。但麻煩卻來自另一面：阻止外來駭客入侵竊取或破壞資料庫中的資訊。不幸的是，一般沒有自動工具解決這一問題；而且，這需要管理員手工設定障礙來阻止駭客，確保公司資料的安全。

不對資料庫進行保護的常見原因是由於這一工作“麻煩”而“複雜”。這確實是事實，但如果你應用MySQL，就可以使用一些方便的功能來顯著減少面臨的風險。下面列出了以下幾個功能：

 

◆刪除授權表中的萬用字元

MySQL存取控制系統通過一系列所謂的授權表運行，從而對資料庫、表格或欄目層級的使用者訪問權利進行定義。但這些表格允許管理員為一名使用者設定一攬子許可，或一組應用萬用字元的表格。這樣做會有潛在的危險，因為駭客可能會利用一個受限的賬戶來訪問系統的其他部分。由於這一原因，在設定使用者特權時要謹慎，始終保證使用者只能訪問他們所需的內容。在給個別使用者設定超級特權時要尤其小心，因為這種層級允許普通使用者修改伺服器的基本配置，並訪問整個資料庫。

建議：對每個使用者賬戶應用顯示特權命令，以審查授權表，瞭解應用萬用字元許可是否恰當。

 

◆要求使用安全密碼

使用者帳號的安全與用來保護它們的密碼密切相關。因此，在安裝MySQL時第一件事就應該設定MySQL根帳號的密碼（預設為空白）。修複這一漏洞後，接下來就應要求每個使用者帳號使用一個密碼，且不要使用生日、使用者名稱或字典中的單詞這些容易識別的啟發學習法密碼。

建議：應用MySQL-安全-授權選項避免使用舊的，不大安全的MySQL密碼格式。

 

◆檢查設定檔許可

一般來說，要使伺服器串連更為快速方便，單個使用者和伺服器管理員必須把他們的使用者帳號密碼儲存在單使用者MySQL選項檔案中。但是，這種密碼是以純文字形式儲存在檔案中的，很容易就可以查閱。因此，必須保證這樣的單使用者設定檔不被系統中的其他使用者查閱，且將它儲存在非公用的位置。理想情況下，你希望單使用者設定檔儲存在使用者的根目錄，許可為0600。

 

◆加密客戶與伺服器之間資料傳送 :

MySQL（及其它）客戶與伺服器構架的一個重要問題就是通過網路傳送資料時的安全問題。如果客戶與伺服器間的互動以純文字形式發生，駭客就可能“嗅出”被傳送的資料包，從而獲得機密資訊。你可以通過啟用MySQL配置中的SSL，或應用一個OpenSSH這樣的安全應用來為傳送的資料建立一個安全的加密“通道”，以關閉這一漏洞。以這種形式加密客戶與伺服器串連可使未授權使用者極難查閱往來的資料。

 

◆禁止遠端存取

如果使用者不需要遠端存取伺服器，你可以迫使所有MySQL串連通過UNIX插槽檔案來完成，從而大大減少網路受攻擊的風險。這一過程可通過跳過網路選項啟動伺服器來完成。這樣可以阻止TCP/IP網路連接到MySQL上，保證沒有使用者可以遠端連線系統。

建議：可以在MySQL伺服器配置中添加捆綁地址127.0.0.1指令來增強這一功能，迫使MySQL捆綁當地機器的IP地址來保證只有同一系統中的使用者可以串連到MySQL。

 

◆積極監控MySQL訪問記錄

MySQL中帶有很多不同的記錄檔，它們記錄客戶串連，查詢和伺服器錯誤。其中，最重要的是一般查詢日誌，它用時間標籤記錄每名客戶的串連和停機時間，並記錄客戶執行的每個查詢。如果你懷疑發生了不尋常的行為，如網路入侵，那麼監控這個日誌以瞭解行為的來源是個好方法。

保護你的MySQL資料庫是一個日常工作。因此，即使完成了上述步驟，也還需要你利用更多的時間去瞭解更多的安全建議，積極監控並更新你的系統安全