加固你的MySQL

摘要
本文章從幾個方面介紹如何加強MySQL伺服器的安全性。(2004-03-04 20:29:37)

By 光輝

加固你的MySQL 王光輝

前言

　　MySQL已經成為當前網路中使用最多的資料庫之一，特別是在Web應用上，它佔據了中小型應用的絕對優勢。這一切都源於它的小巧易用、它的安全有效、它的開放式許可、它的多平台，更主要的是它與三大Web語言之——PHP的完美結合。

　　但不幸的是，一個預設安全的MySQL，會因為root密碼為空白及程式漏洞導致被溢出，使得安裝MySQL的伺服器成為被經常攻擊的對象。更嚴重的是，被攻擊之後資料庫往往遭破壞，造成災難性的後果。下面將進入為了保護資料而進行的保衛戰中。

環境要求

1．系統內容

　 　一台Red Hat 9.0自訂安裝的伺服器，系統安裝了GCC及一些其它要求的軟體包，比如Apache、PHP等。安裝完系統後的第一件事就是升級系統的軟體包。作為 Web伺服器，系統接受PHP指令碼的請求，PHP則使用下面將要安裝的MySQL資料庫作為動態發布的接觸。

　　分區情況的要求和一般系統差不多，惟一不同之處在於後面建立的/chroot與/tmp要求在同一個分區上。

2．安全要求

（1）MySQL運行在一個獨立的（Chroot）環境下； （2）mysqld進程運行於一個獨立的使用者/使用者組下， 　　 此使用者和使用者組沒有根目錄，沒有shell，也不能用於其它程式； （3）修改MySQL的root帳號，並使用一個複雜的密碼； （4）只允許本地串連MySQL，啟動MySQL時網路連接被禁止掉； （5）保證串連MySQL的nobody帳號登陸被禁止； （6）刪除test資料庫。

安裝MySQL

1．安裝準備

　　安裝MySQL之前，按照上述安全要求需要建立一個用於啟動MySQL的使用者和組。

#groupadd mysql #useradd mysql -c "start mysqld's account" -d /dev/null -g mysql -s /sbin/nologin

2．編譯和安裝

　　下載MySQL原始碼包:

#wget http://mysql.he.net/Downloads/MySQL-4.0/mysql-4.0.16.tar.gz

解壓縮:

#tar -zxvf mysql-4.0.16.tar.gz

　　一般把MySQL安裝在/usr/local/mysql下，如果有特殊要求，也可自行調整。不過這樣做意義不大，因為後面將Chrooting，到時只是使用這裡的客戶工具而已，比如mysql，mysqladmin，mysqldump等。下面就開始編譯安裝吧。

#./configure --prefix=/usr/local/mysql / --with-mysqld-user=mysql / --with-unix-socket-path=/tmp/mysql.sock / --with-mysqld-ldflags=-all-static #make && make install #strip /usr/local/mysql/libexec/mysqld #scripts/mysql_install_db #chown -R root /usr/local/mysql #chown -R mysql /usr/local/mysql/var #chgrp -R mysql /usr/local/mysql

　　上面各步驟的具體作用在MySQL手冊裡已有介紹，惟一需要解釋、和一般步驟不同的地方在於--with-mysqld-ldflags=-all-static。因為需要用到Chroot環境，而MySQL本身串連成靜態後就無需再建立一些庫環境了。

3．配置與啟動

　　MySQL的設定檔需要手工選擇、拷貝幾個模板檔案中的一個到/etc下，這幾個模板檔案位於源檔案的support-files目錄，一共4個：small、medium、large、huge。

#cp support-files/my-medium.cnf /etc/my.cnf #chown root:sys /etc/my.cnf #chmod 644 /etc/my.cnf

啟動MySQL，注意使用使用者為mysql：

#/usr/local/mysq/bin/mysqld_safe --user=mysql &

4．測試

　　為了測試安裝的程式是否正確及MySQL是否已經啟動正常，最好的辦法就是用MySQL用戶端來串連資料庫。

#/usr/local/mysql/bin/mysql [root@ftp bin]# mysql Welcome to the MySQL monitor. Commands end with ; or /g. Your MySQL connection id is 687 to server version: 3.23.58 Type 'help;' or '/h' for help. Type '/c' to clear the buffer. mysql> mysql> show databases; +--------------+ | Database | +--------------+ | mysql | | test | +--------------+ 2 rows in set (0.00 sec) mysql>quit

　　串連成功，可以關閉資料庫：

#/usr/local/mysql/bin/mysqladmin -uroot shutdown

　　如果串連失敗則需要仔細分析出錯原因：

#more /usr/local/mysql/var/`hostname`.err

Chrooting

1．Chrooting環境

　　Chroot是Unix/類Unix的一種手段，它的建立會將其與主系統幾乎完全隔離，也就是說，一旦遭到什麼問題，也不會危及到正在啟動並執行主系統。這是一個非常有效辦法，特別是在配置網路服務程式的時候。

2．Chroot的準確工作

　　首先，應當建立1示目錄結構：

圖1 目錄結構

#mkdir -p /chroot/mysql/dev #mkdir -p /chroot/mysql/etc #mkdir -p /chroot/mysql/tmp #mkdir -p /chroot/mysql/var/tmp #mkdir -p /chroot/mysql/usr/local/mysql/libexec #mkdir -p /chroot/mysql/usr/local/mysql/share/mysql/english

　　然後設定目錄許可權：

#chown -R root:sys /chroot/mysql #chmod -R 755 /chroot/mysql #chmod 1777 /chroot/mysql/tmp

3．拷貝mysql下的程式和檔案到chroot下

#cp -p /usr/local/mysql/libexec/mysqld /chroot/mysql/usr/local/mysql/libexec/ #cp -p /usr/local/mysql/share/mysql/english/errmsg.sys /chroot/mysql/usr/local/mysql/share/mysql/english/ #cp -p /etc/hosts /chroot/mysql/etc/ #cp -p /etc/host.conf /chroot/mysql/etc/ #cp -p /etc/resolv.conf /chroot/mysql/etc/ #cp -p /etc/group /chroot/mysql/etc/ #cp -p /etc/passwd /chroot/mysql/etc/passwd #cp -p /etc/my.cnf /chroot/mysql/etc/

4．編輯chroot下的passwd檔案和group檔案

#vi /chroot/etc/passwd

　　刪除除了mysql、root、sys的所有行

#vi /chroot/etc/group

　　刪除除了mysql、root的所有行

5．建立特殊的裝置檔案/dev/null

　　參照系統的樣子做即可：

#ls -al /dev/null crw-rw-rw- 1 root root 1, 3 Jan 30 2003 /dev/null #mknod /chroot/mysql/dev/null c 1 3 #chown root:root /chroot/mysql/dev/null #chmod 666 /chroot/mysql/dev/null

6．拷貝mysql的資料庫檔案到chroot下

#cp -R /usr/local/mysql/var/ /chroot/mysql/usr/local/mysql/var #chown -R mysql:mysql /chroot/mysql/usr/local/mysql/var

7．安裝chrootuid程式

　　下載chrootuid，然後RPM安裝即可。

http://rpm.pbone.net/index.php3/stat/4/idpl/355932/com/ chrootuid-1.3-alt2.i586.rpm.html

8．測試Chroot環境下的MySQL配置

#chrootuid /chroot/mysql mysql /usr/local/mysql/libexec/mysqld &

　　如果失敗請注意chroot目錄下面的許可權問題。

9．測試連接chroot下的MySQL

#/usr/local/mysql/bin/mysql --socket=/chroot/mysql/tmp/mysql.sock .............. mysql>show databases; mysql>create database wgh; mysql>quit; #ls -al /chroot/mysql/var/ ...............

設定管理員

　　為了更加安全地使用MySQL，需要對MySQL的資料庫進行安全配置；並且由於Chroot的原因，設定檔也會有所不同。

1．關閉遠端連線

　 　首先，應該關閉3306連接埠，這是MySQL的預設監聽連接埠。由於此處MySQL只服務於本地指令碼，所以不需要遠端連線。儘管MySQL內建的安全機制 很嚴格，但監聽一個TCP連接埠仍然是危險的行為，因為如果MySQL程式本身有問題，那麼未授權的訪問完全可以繞過MySQL的內建安全機制。關閉網路監 聽的方法很簡單，在/chroot/mysql/etc/my.cnf檔案中的[mysqld]部分，去掉#skip-networking前面的“#” 即可。

　　關閉了網路，本地程式如何串連MySQL資料庫呢？本地程式可以通過mysql.sock來串連，速度比網路連接更快。後文將提到關於mysql.sock的具體情況。

　　MySQL的備份通常使用SSH來執行！

2．禁止MySQL匯入本地檔案

　　下面，將禁止MySQL中用“LOAD DATA LOCAL INFILE”命令。這個命令會利用MySQL把本地檔案讀到資料庫中，然後使用者就可以非法擷取敏感資訊了。網路上流傳的一些攻擊方法中就有用它的，它也是很多新發現的SQL Injection攻擊利用的手段！

　　為了禁止上述命令，在/chroot/mysql/etc/my.cnf檔案的[mysqld]部分加入：

set-variable=local-infile=0

　　為了管理方便，一 般在系統中的MySQL管理命令如mysql,mysqladmin,mysqldump等，使用的都是系統的/etc/my.cnf檔案。如果要串連， 它會尋找/tmp/mysql.sock檔案來試圖串連MySQL伺服器，但是這裡要串連的是chroot下的MySQL伺服器，解決辦法有兩個：一個是 在管理命令後面加入--socket=/chroot/mysql/tmp/mysql.sock。例如：

#/usr/local/mysql/bin/mysql -root -p --socket=/chroot/mysql/tmp/mysql.sock

　　第二個就是在/etc/my.cnf的[client]部分加入socket=/chroot/mysql/tmp/mysql.sock。顯然，第二個方法方便多了。

3．修改MySQL的root使用者ID和密碼

#chrootuid /chroot/mysql mysql /usr/local/mysql/libexec/mysqld & #/usr/local/mysql/bin/mysql -uroot ............... mysql>SET PASSWORD FOR root@localhost=PASSWORD('new_password');

　　盡量養成在mysql下輸入密碼的習慣，因為Shell下面輸入的時候可能會被其它人看見。

mysql>use mysql; mysql>update user set user="wghgreat" where user="root"; mysql>select Host,User,Password,Select_priv,Grant_priv from user; mysql>delete from user where user=''; mysql>delete from user where password=''; mysql>delete from user where host='%'; mysql>drop database test; mysql>flush privileges; mysql>quit;

修改為一個不容易猜的ID

4．刪除曆史命令記錄

　　這些曆史檔案包括~/.bash_history、~/.mysql_history等。如果開啟它們，你會大吃一驚，怎麼居然有一些明文的密碼在這裡？！

#cat /dev/null > ~/.bash_history #cat /dev/null > ~/.mysql_history

PHP和MySQL通訊

　　預設情況下，PHP會通過/tmp/mysql.sock來和MySQL通訊，但這裡的一個大問題是MySQL產生的根本不是它，而是/chroot/mysql/tmp/mysql.sock。解決的辦法就是做一個串連：

#ln /chroot/mysql/tmp/mysql.sock /tmp/mysql.sock

　　注意：由於hard links不能在檔案系統的分區之間做，所以該處的串連必須位於同一分區內部。

自啟動配置

　　自啟動配置前先提示一點：即用於PHP的資料庫需要用一個建立的帳號，其上有資料庫使用權限設定，比如FILE、GRANT、ACTER、SHOW DATABASE、RELOAD、SHUTDOWN、PROCESS、SUPER等。

　　自啟動指令碼樣本：

#!/bin/sh CHROOT_MYSQL=/chroot/mysql SOCKET=/tmp/mysql.sock MYSQLD=/usr/local/mysql/libexec/mysqld PIDFILE=/usr/local/mysql/var/`hostname`.pid CHROOTUID=/usr/bin/chrootuid echo -n " mysql" case "$1" in start) rm -rf ${SOCKET} nohup ${CHROOTUID} ${CHROOT_MYSQL} mysql ${MYSQLD} >/dev/null 2>&1 & sleep 5 && ln ${CHROOT_MYSQL}/${SOCKET} ${SOCKET} ;; stop) kill `cat ${CHROOT_MYSQL}/${PIDFILE}` rm -rf ${CHROOT_MYSQL}/${SOCKET} ;; *) echo "" echo "Usage: `basename $0` {start|stop}" >&2 exit 64 ;; esac exit 0

　　檔案位於/etc/rc.d/init.d下，名為mysqld，注意要可執行。

#chmod +x /etc/rc.d/init.d/mysqld #ln -s /etc/rc.d/init.d/mysql /etc/rc3.d/S90mysql #ln -s /etc/rc.d/init.d/mysql /etc/rc0.d/K20mysql

　　結論：儘管我們不能做到100％的安全，但是這些措施可以保護我們的系統更加安全！

參考資料：

Artur Maj 《Securing MySQL》 Xuzhikun 《MySQL資料庫安全配置》 晏子 譯 《MySQL中文參考手冊》

【責任編輯：泛舟】
【關閉視窗】

相關內容

· 加固你的MySQL · 設定 MySql 資料同步 · apache+mysql+php+ZendOptimizer+mod_limitipconn的安裝 · redhat9.0下安裝igenus實錄 · Linux網路服務軟體安裝備忘錄 ver 0.3