MySQL資料庫安全許可權控制管理思想

來源:互聯網
上載者:User

MySQL資料庫安全許可權控制管理思想

web賬戶授權實戰案例
a.生產環境主庫使用者的帳號授權:
GRANT SELECT,INSERT,UPDATE,DELETE ON blog.*TO 'blog'@10.0.0.%' identified by 'oldboy456';
b.生產環境從庫使用者的授權:
GRANT SELECT ON blog.*TO 'blog'@'10.0.0.%'identified by 'oldboy456';
當然從庫除了做SELECT 的授權外,還可以加read-only等唯讀參數。

2.4產環境讀寫分離賬戶設定
給開發人員的讀寫分離使用者佈建,除了IP必須要不同外,我們盡量為開發人員使用提供方便。因此,讀寫分離的地址,除了IP不同外,帳號,密碼,連接埠等看起來都是一樣的,這才是人性化的設計,體現了營運或DBA人員的專業。
 主庫(盡量提供寫服務):blog oldboy456 ip:10.0.0.179 port 3306
 從庫(今提供讀服務):  blog oldboy456 ip:10.0.0.180 port 3306
提示: 兩個帳號的許可權是不一樣的
提示:從資料庫的設計上,對於讀庫,開發人員應該設計優先串連讀庫,如果讀庫沒有,逾時後,可以考慮主庫,從程式設計上來保證提升用也要根據主庫的繁忙程度來綜合體驗,具體情況都是根據商務專案需求來抉擇


3,資料庫用戶端存取控制
1.更改預設mysql client 連接埠,如phpadmin 管理連接埠為9999,其他用戶端也是一樣的
2:資料庫web client端統一部署在1-2台不對外服務Server上,限制ip,及9999連接埠只能從內網訪問。
3.不做公網網域名稱解析,用host實現訪問或者內部IP
4phpadmin網站目錄獨立所有其他網站根目錄外,只能由指定的網域名稱或ip地址訪問。
5.限制使用web串連的帳號管理資料庫,根據使用者角色設定指定帳號訪問。
6按開發及相關人員根據職位角色指派管理帳號
7:設定指定帳號訪問(apache/nginx驗證+mysql使用者兩個登入限制)
8.統一所有資料庫帳號登入入口地址。禁止所有開發私自上傳phpadmin等資料庫管理等
9開通vpn,跳板機,內部IP管理資料庫
系統層控制
1限制或禁止開發人員ssh root 管理,通過sudo微調權限,使用日誌審計
2對phpadmin端config等設定檔進行讀寫權限控制
3:取消費指定伺服器的所有phpadmin web 串連端
4.禁止非管理員管理有資料庫web client端的伺服器的許可權。
5讀庫分業務讀寫分離
細則補充:對資料庫的select 等大量測試,統計,備份等操作,要在不對外提供select的單獨從庫執行
主從架構生產環境從伺服器分業務拆分使用案例:
M-->s1==對外部使用者提供服務(瀏覽文章,瀏覽部落格,瀏覽文章)
-->s2==>對外部使用者提供服務(瀏覽文章,瀏覽部落格,瀏覽文章)
-->s3==>對外部使用者提供服務(瀏覽文章,瀏覽部落格,瀏覽文章)
-->s2==>對內部使用者提供服務(後台訪問,指令碼任務,資料分析,開發人員瀏覽)
-->s5==>Database Backup服務(開啟從伺服器binlog功能,可實現增量備份及恢複)

本文永久更新連結地址:

相關文章

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.