教您如何安全的應用 MySQL

教您如何安全的應用 MySQL phpma MySQL已經成為當前網路中使用最多的資料庫之一，特別是在Web應用上，它佔據了中小型應用的絕對優勢。這一切都源於它的小巧易用、安全有效、開放式許可和多平台，更主要的是它與三大Web語言之一——PHP的完美結合。phpma 但不幸的是，一個預設安全的MySQL，會因為root密碼為空白及程式漏洞導致被溢出，使得安裝MySQL的伺服器成為被經常攻擊的對象。更嚴重的是，被攻擊之後資料庫往往遭破壞，易造成災難性的後果。下面將進入為了保護資料而進行的保衛戰中。 環境要求phpma 1．系統內容phpma 有 一台Red Hat Linux 9.0自訂安裝的伺服器，系統安裝了GCC及一些軟體包，比如Apache、PHP等。安裝完系統後的第一件事就是升級系統的軟體包。作為Web服務 器，系統接受PHP指令碼的請求，PHP則使用下面將要安裝的MySQL資料庫作為動態發布的接觸。 分區情況的要求和一般系統差不多，惟一不同之處在於後面建立的/chroot與/tmp要求在同一個分區上。 2．安全要求phpma （1）MySQL運行在一個獨立的（Chroot）環境下； （2）mysqld進程運行於一個獨立的使用者/使用者組下，此使用者和使用者組沒有根目錄，沒有Shell，也不能用於其它程式； （3）修改MySQL的root帳號，並使用一個複雜的密碼； （4）只允許本地串連MySQL，啟動MySQL時網路連接被禁止掉； （5）保證串連MySQL的nobody帳號登入被禁止； （6）刪除test資料庫。 安裝MySQL 1．安裝準備 安裝MySQL之前，按照上述安全要求需要建立一個用於啟動MySQL的使用者和組。 #groupadd mysql #useradd mysql -c "start mysqld's account" -d /dev/null -g mysql -s /sbin/nologin 2．編譯和安裝 下載MySQL原始碼包: #wget http://mysql.he.net/Downloads/MySQL...l-4.0.16.tar.gz 解壓縮: #tar -zxvf mysql-4.0.16.tar.gz 一般把MySQL安裝在/usr/local/mysql下，如果有特殊要求，也可自行調整。不過這樣做意義不大，因為後面將Chrooting，到時只是使用這裡的客戶工具而已，比如mysql，mysqladmin，mysqldump等。下面就開始編譯安裝吧。 #./configure --prefix=/usr/local/mysql \ --with-mysqld-user=mysql \ --with-unix-socket-path=/tmp/mysql.sock \ --with-mysqld-ldflags=-all-static #make && make install #strip /usr/local/mysql/libexec/mysqld #scripts/mysql_install_db #chown -R root /usr/local/mysql #chown -R mysql /usr/local/mysql/var #chgrp -R mysql /usr/local/mysql 上面各步驟的具體作用在MySQL手冊裡已有介紹，惟一需要解釋、和一般步驟不同的地方在於--with-mysqld-ldflags=-all-static。因為需要用到Chroot環境，而MySQL本身串連成靜態後就無需再建立一些庫環境了。 3．配置與啟動 MySQL的設定檔需要手工選擇、拷貝幾個模板檔案中的一個到/etc下，這幾個模板檔案位於源檔案的support-files目錄，一共有4個：small、medium、large、huge。 #cp support-files/my-medium.cnf /etc/my.cnf #chown root:sys /etc/my.cnf #chmod 644 /etc/my.cnf 啟動MySQL，注意使用使用者為mysql： #/usr/local/mysq/bin/mysqld_safe --user=mysql & 4．測試 為了測試安裝的程式是否正確及MySQL是否已經正常啟動，最好的辦法就是用MySQL用戶端來串連資料庫。 #/usr/local/mysql/bin/mysql [root@ftp bin]# mysql Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 687 to server version: 3.23.58 Type 'help;' or '\h' for help. Type '\c' to clear the buffer. mysql> mysql> show databases; +--------------+ | Database | +--------------+ | mysql | | test | +--------------+ 2 rows in set (0.00 sec) mysql>quit 串連成功，可以關閉資料庫： #/usr/local/mysql/bin/mysqladmin -uroot shutdown 如果串連失敗則需要仔細分析出錯原因： #more /usr/local/mysql/var/`hostname`.err Chrooting 1．Chrooting環境 Chroot是Unix/類Unix的一種手段，它的建立會將其與主系統幾乎完全隔離。也就是說，一旦遭到什麼問題，也不會危及到正在啟動並執行主系統。這是一個非常有效辦法，特別是在配置網路服務程式的時候。 2．Chroot的準備工作 首先，應當建立1示目錄結構： #mkdir -p /chroot/mysql/dev #mkdir -p /chroot/mysql/etc #mkdir -p /chroot/mysql/tmp #mkdir -p /chroot/mysql/var/tmp #mkdir -p /chroot/mysql/usr/local/mysql/libexec #mkdir -p /chroot/mysql/usr/local/mysql/share/mysql/english phpma 圖1 目錄結構 然後設定目錄許可權： #chown -R root:sys /chroot/mysql #chmod -R 755 /chroot/mysql #chmod 1777 /chroot/mysql/tmp 3．拷貝mysql下的程式和檔案到chroot下 #cp -p /usr/local/mysql/libexec/mysqld /chroot/mysql/usr/local/mysql/libexec/ #cp -p /usr/local/mysql/share/mysql/english/errmsg.sys /chroot/mysql/usr/local/mysql/share/mysql/english/ #cp -p /etc/hosts /chroot/mysql/etc/ #cp -p /etc/host.conf /chroot/mysql/etc/ #cp -p /etc/resolv.conf /chroot/mysql/etc/ #cp -p /etc/group /chroot/mysql/etc/ #cp -p /etc/passwd /chroot/mysql/etc/passwd #cp -p /etc/my.cnf /chroot/mysql/etc/phpma 4．編輯chroot下的passwd檔案和group檔案 #vi /chroot/etc/passwd phpma 如上命令開啟passwd檔案，請刪除除了mysql、root、sys的所有行。 #vi /chroot/etc/groupphpma 如上命令開啟group檔案，請刪除除了mysql、root的所有行。 5．建立特殊的裝置檔案/dev/null 參照系統的樣子做即可： #ls -al /dev/null crw-rw-rw- 1 root root 1, 3 Jan 30 2003 /dev/null #mknod /chroot/mysql/dev/null c 1 3 #chown root:root /chroot/mysql/dev/null #chmod 666 /chroot/mysql/dev/nullphpma 6．拷貝mysql的資料庫檔案到chroot下 #cp -R /usr/local/mysql/var/ /chroot/mysql/usr/local/mysql/var #chown -R mysql:mysql /chroot/mysql/usr/local/mysql/varphpma 7．安裝chrootuid程式 下載chrootuid，然後RPM安裝即可。 http://rpm.pbone.net/index.php3/sta...2.i586.rpm.html 8．測試Chroot環境下的MySQL配置 #chrootuid /chroot/mysql mysql /usr/local/mysql/libexec/mysqld &phpma 如果失敗請注意chroot目錄下面的許可權問題。 9．測試連接chroot下的MySQL #/usr/local/mysql/bin/mysql --socket=/chroot/mysql/tmp/mysql.sock ....... mysql>show databases; mysql>create database wgh; mysql>quit; #ls -al /chroot/mysql/var/ .......phpma 設定管理員 為了更加安全地使用MySQL，需要對MySQL的資料庫進行安全配置。由於Chroot的原因，設定檔也會有所不同。 1．關閉遠端連線 首 先，應該關閉3306連接埠，這是MySQL的預設監聽連接埠。由於此處MySQL只服務於本地指令碼，所以不需要遠端連線。儘管MySQL 內建的安全機制很嚴格，但監聽一個TCP連接埠仍然是危險的行為，因為如果MySQL程式本身有問題，那麼未授權的訪問完全可以繞過MySQL的內建安全機 制。關閉網路監聽的方法很簡單，在/chroot/mysql/etc/my.cnf檔案中的[mysqld]部分，去掉#skip- networking前面的“#”即可。 關閉了網路，本地程式如何串連MySQL資料庫呢？本地程式可以通過mysql.sock來串連，速度比網路連接更快。後文將提到關於mysql.sock的具體情況。 MySQL的備份通常使用SSH來執行。 2．禁止MySQL匯入本地檔案 下面將禁止MySQL中用“LOAD DATA LOCAL INFILE”命令。這個命令會利用MySQL把本地檔案讀到資料庫中，然後使用者就可以非法擷取敏感資訊了。 為了禁止上述命令，在/chroot/mysql/etc/my.cnf檔案的[mysqld]部分加入下面語句： set-variable=local-infile=0 phpma 為 了管理方便，一般在系統中的MySQL管理命令如mysql、mysqladmin、mysqldump等，使用的都是系統的 /etc/my.cnf檔案。如果要串連，它會尋找/tmp/mysql.sock檔案來試圖串連MySQL伺服器，但是這裡要串連的是chroot下的 MySQL伺服器。解決辦法有兩個：一個是在管理命令後面加入--socket=/chroot/mysql/tmp/mysql.sock。例如： #/usr/local/mysql/bin/mysql -root -p --socket=/chroot/mysql/tmp/mysql.sockphpma 另一個就是在/etc/my.cnf的[client]部分加入socket=/chroot/mysql/tmp/mysql.sock。顯然，第二種方法方便多了。 3．修改MySQL的root使用者ID和密碼 #chrootuid /chroot/mysql mysql /usr/local/mysql/libexec/mysqld & #/usr/local/mysql/bin/mysql -uroot ....... mysql>SET PASSWORD FOR root@localhost=PASSWORD('new_password');phpma 要盡量養成在mysql下輸入密碼的習慣，因為Shell下面輸入的時候可能會被其它人看見。 mysql>use mysql; mysql>update user set user="wghgreat" where user="root"; mysql>select Host,User,Password,Select_priv,Grant_priv from user; mysql>delete from user where user=''; mysql>delete from user where password=''; mysql>delete from user where host='%'; mysql>drop database test; 修改為一個不容易猜的ID： mysql>flush privileges; mysql>quit; 4．刪除曆史命令記錄 這些曆史檔案包括~/.bash_history、~/.mysql_history等。如果開啟它們，你會大吃一驚，怎麼居然有一些明文的密碼在這裡？！ #cat /dev/null > ~/.bash_history #cat /dev/null > ~/.mysql_history PHP和MySQL通訊 預設情況下，PHP會通過/tmp/mysql.sock來和MySQL通訊，但這裡的一個大問題是MySQL產生的根本不是它，而是/chroot/mysql/tmp/mysql.sock。解決的辦法就是做一個串連： #ln /chroot/mysql/tmp/mysql.sock /tmp/mysql.sock 注意：由於hard links不能在檔案系統的分區之間做，所以該處的串連必須位於同一分區內部。 自啟動配置 自啟動配置前先提示一點，用於PHP的資料庫需要用一個建立的帳號，其上有資料庫使用權限設定，比如FILE、GRANT、ACTER、SHOW DATABASE、RELOAD、SHUTDOWN、PROCESS、SUPER等。 自啟動指令碼樣本： #!/bin/sh CHROOT_MYSQL=/chroot/mysql SOCKET=/tmp/mysql.sock MYSQLD=/usr/local/mysql/libexec/mysqld PIDFILE=/usr/local/mysql/var/`hostname`.pid CHROOTUID=/usr/bin/chrootuid echo -n " mysql" case "$1" in start) rm -rf ${SOCKET} nohup ${CHROOTUID} ${CHROOT_MYSQL} mysql ${MYSQLD} >/dev/null 2>&1 & sleep 5 && ln ${CHROOT_MYSQL}/${SOCKET} ${SOCKET} ;; stop) kill `cat ${CHROOT_MYSQL}/${PIDFILE}` rm -rf ${CHROOT_MYSQL}/${SOCKET} ;; *) echo "" echo "Usage: `basename $0` {start|stop}" >&2 exit 64 ;; esac exit 0phpma 檔案位於/etc/rc.d/init.d下，名為mysqld，注意要可執行。 #chmod +x /etc/rc.d/init.d/mysqld #ln -s /etc/rc.d/init.d/mysql /etc/rc3.d/S90mysql #ln -s /etc/rc.d/init.d/mysql /etc/rc0.d/K20mysql 儘管不能做到100％的安全，但是這些措施可以保護我們的系統更加安全。p