MySQL伺服器內部安全資料目錄訪問

　　作為MySQL管理員的您，在維護MySQL安裝的安全性和完整性方面能夠做些什麼。在本文中，我們將更詳細地討論以下與安全性相關的問題：

為什麼說安全性是重要的，應該警惕哪些攻擊？

從伺服器主機中的使用者那裡您將面臨什麼風險（內部安全性），能做什嗎？

從在網路上串連到伺服器的客戶機那裡您將面臨什麼風險（外部安全性），能做什嗎？

MySQL管理員有責任保護資料庫內容的安全，使得記錄只能由經過嚴格認證的那些使用者訪問。這包括內部安全性和外部安全性。

　　內部安全性關心檔案系統級的問題，如保護MySQL資料目錄免遭擁有運行伺服器的機器帳號的使用者的攻擊。但是，如果資料目錄內容的檔案許可權過分隨意，有人可以將對應這些表的檔案進行簡單的替換的話，內部安全性就不能很好地確保適當建立對網路上客戶機訪問的授權表的控制。

外部安全性關心客戶機從外部串連的問題，如防止MySQL伺服器免遭通過網路進來的通過伺服器的串連請求對資料庫內容訪問的攻擊。要建立MySQL授權表使得它們不允許對伺服器所管理的資料庫的訪問（除非提供了有效名字和口令）。

本文提供了應該瞭解的有關問題的指導，並說明如何防止內部和外部層級中未認證的訪問。

MySQL伺服器提供了一個通過mysql資料庫中的授權表來實現的靈活的許可權系統。可以設定這些表的內容來允許或拒絕資料庫對客戶機的訪問。這提供了關於未認證的網路訪問資料的安全性。但是，如果伺服器主機上的其他使用者具有對該資料目錄內容的直接存取權，則將不能對訪問資料的網路建立良好的安全性。除非知道您是曾在運行MySQL伺服器的機器上註冊的惟一的一個人，否則需要關心在該機器上的其他使用者獲得對資料目錄訪問的可能性。

以下是您想要保護的內容：

　　資料庫檔案。顯然想要維護由伺服器維護的資料庫的保密性。資料庫的所有者通常要考慮資料庫內容的專有性。即使他們不考慮，也最多是使資料庫的內容公用化，而不會使那些內容因資料庫目錄安全性低而被泄露。

記錄檔。常規和更新日誌必須安全，因為它們包含了查詢文本。這有相當的利害關係，因為具有記錄檔訪問的任何人都可以監控發生在資料庫中的交易處理。

與記錄檔有關的更為特殊的安全性問題是，像GRANT 和SET PASSWORD 這樣的查詢被記錄在日誌中了。常規和更新記錄檔包含敏感的查詢文本，其中包括了口令（MySQL使用口令加密，但這隻適用於在口令設定之後的串連建立。設定口令的過程包含在GRANT、INSERT 或SET PASSWORD 這樣的查詢中，但這些查詢以純文字的形式被記錄。）如果一個攻擊者具有對日誌的讀訪問權，那他只需在日誌中對GRANT 或PASSWORD 這樣的詞運行grep 就能找到敏感資訊。

顯然，您不想讓伺服器主機上的其他使用者擁有對資料目錄檔案的寫訪問權，因為那樣的話，他們就可以在狀態檔案或資料庫表上肆意踐踏。但讀訪問也很危險。如果表檔案可讀取，那麼竊取檔案並使MySQL自己以純文字的形式顯示表的內容是微不足道的事。可按下列步驟進行：

1) 在伺服器主機上安裝您的MySQL伺服器，但使用與正式伺服器不同的連接埠、通訊端和資料檔案。

2) 運行mysql_install_db 初始化您的資料目錄。這將允許您作為MySQL的root 使用者訪問伺服器，因此您將具有完全控制伺服器訪問機制的權利。它還建立了一個test 資料庫。

3) 將您想竊取的表的相應檔案拷貝到伺服器資料目錄下的test 子目錄中。

4) 啟動作案伺服器。您可以隨意訪問這些表。SHOW TABLES FROM test 將顯示您擁有一個被竊取表的備份， SELECT * 將顯示任何這些表的全部內容。

5) 如果更壞一點，開啟伺服器的匿名使用者帳號的許可權，使任何人都能從任何地方串連到該伺服器來訪問您的test 資料庫。現在，您已經向全世界公布了這些被偷竊的表。

1 2 下一頁 >全文閱讀 提示：試試"← →"鍵，翻頁更方便哦！