如何安全的配置和應用MySQL資料庫？

MySQL已經成為當前網路中使用最多的資料庫之一，特別是在Web應用上，它佔據了中小型應用的絕對優勢。 這一切都源于它的小巧易用、安全有效、開放式許可和多平臺，更主要的是它與三大Web語言之一——PHP的完美結合。 但不幸的是，一個缺省安裝的MySQL，會因為root密碼為空及程式漏洞導致被溢出，使得安裝MySQL的伺服器成為被經常攻擊的物件。 更嚴重的是，被攻擊之後資料庫往往遭破壞，易造成災難性的後果。 下面將進入為了保護資料而進行的保衛戰中。 環境要求 1． 系統內容 有一台Red Hat Linux 9.0自訂安裝的伺服器，系統安裝了GCC及一些套裝軟體，比如Apache、PHP等。 安裝完系統後的第一件事就是升級系統的套裝軟體。 作為Web伺服器，系統接受PHP腳本的請求，PHP則使用下面將要安裝的MySQL資料庫作為動態發佈的接觸。 分區情況的要求和一般系統差不多，惟一不同之處在于後面建立的/chroot與/tmp要求在同一個分區上。 2． 安全要求 （1）MySQL運行在一個獨立的（Chroot）環境下；（2）mysqld進程運行于一個獨立的使用者/使用者組下，此使用者和使用者組沒有根目錄，沒有Shell，也不能用於其它程式；（3）修改MySQL的root帳號， 並使用一個複雜的密碼；（4）只允許本地連接MySQL，啟動MySQL時網路連接被禁止掉；（5）保證連接MySQL的nobody帳號登錄被禁止；（6）刪除test資料庫。 安裝MySQL 1． 安裝準備 安裝MySQL之前，按照上述安全要求需要創建一個用於啟動MySQL的使用者和組。 #groupadd mysql#useradd mysql -c "start mysqlds account" -d /dev/null -g mysql -s /sbin/nologin2． 編譯和安裝 下載MySQL原始程式碼包: #wget HTTP://mysql.he.net/Downloads/MySQL-4.0/mysql-4.0.16.tar.gz解壓縮: #tar -zxvf mysql-4.0.16.tar.gz一般把MySQL安裝在/usr/local/mysql下，如果有特殊要求，也可自行調整。 不過這樣做意義不大，因為後面將Chrooting，到時只是使用這裡的客戶工具而已，比如mysql，mysqladmin，mysqldump等。 下面就開始編譯安裝吧。 #./configure --prefix=/usr/local/mysql \ --with-mysqld-user=mysql \ --with-unix-socket-path=/tmp/mysql.sock \ -- with-mysqld-ldflags=-all-static#make && make install#strip /usr/local/mysql/libexec/mysqld#scripts/mysql_ install_db#chown -R root /usr/local/mysql#chown -R mysql /usr/local/mysql/var#chgrp -R mysql /usr/local/ mysql上面各步驟的具體作用在MySQL手冊裡已有介紹，惟一需要解釋、和一般步驟不同的地方在於--with-mysqld-ldflags=-all-static。 因為需要用到Chroot環境，而MySQL本身連接成靜態後就無需再創建一些庫環境了。 3． 配置與啟動 MySQL的設定檔需要手工選擇、拷貝幾個範本檔中的一個到/etc下，這幾個範本檔位於原始檔案的support-files目錄，一共有4個：small、medium、large、huge。 #cp support-files/my-medium.cnf /etc/my.cnf#chown root:sys /etc/my.cnf#chmod 644 /etc/my.cnf啟動MySQL，注意使用使用者為mysql： #/ usr/local/mysq/bin/mysqld_safe --user=mysql &4． 測試 為了測試安裝的程式是否正確及MySQL是否已經正常啟動，最好的辦法就是用MySQL用戶端來連接資料庫。 #/usr/local/mysql/bin/mysql[root@ftp bin]# mysqlWelcome to the MySQL monitor. Commands end with ; or \g.Your MySQL connection id is 687 to server version: 3.23.58Type help; or \h for help. Type \c to clear the buffer.mysql>mysql> show databases;+--------------+| Database |+--------------+| mysql || test |+--------------+2 rows in set (0.00 sec)mysql>quit連接成功，可以關閉資料庫： #/usr/local/mysql/bin/mysqladmin -uroot shutdown如果連接失敗則需要仔細分析出錯原因： #more /usr/local/mysql/var/`hostname`.errChrooting 1． Chrooting環境 Chroot是Unix/類Unix的一種手段，它的建立會將其與主系統幾乎完全隔離。 也就是說，一旦遭到什麼問題，也不會危及到正在運行的主系統。 這是一個非常有效的辦法，特別是在配置網路服務程式的時候。 2． Chroot的準備工作 首先，應當建立如圖1示目錄結構： #mkdir -p /chroot/mysql/dev#mkdir -p /chroot/mysql/etc#mkdir -p /chroot/mysql/tmp#mkdir -p /chroot/mysql/var/tmp#mkdir -p /chroot/mysql/usr/local/mysql/libexec#mkdir -p /chroot/mysql/usr/local/mysql/share/ mysql/english然後設定目錄許可權： #chown -R root:sys /chroot/mysql#chmod -R 755 /chroot/mysql#chmod 1777 /chroot/mysql/tmp3． 拷貝mysql下的程式和檔到chroot下 #cp -p /usr/local/mysql/libexec/mysqld /chroot/mysql/usr/local/mysql/libexec/#cp -p /usr/ local/mysql/share/mysql/english/errmsg.sys/chroot/mysql/usr/local/mysql/share/mysql/english/#cp -p /etc/hosts / chroot/mysql/etc/#cp -p /etc/host.conf /chroot/mysql/etc/#cp -p /etc/resolv.conf /chroot/mysql/etc/#cp -p /etc/group /chroot/mysql/etc/#cp - p /etc/passwd /chroot/mysql/etc/passwd#cp -p /etc/my.cnf /chroot/mysql/etc/4． 編輯chroot下的passwd檔和group檔 #vi /chroot/etc/passwd如上命令打開passwd檔，請刪除除了mysql、root、sys的所有行。 #vi /chroot/etc/group如上命令打開group檔，請刪除除了mysql、root的所有行。 5． 創建特殊的設備檔/dev/null 參照系統的樣子做即可： #ls -al /dev/nullcrw-rw-rw- 1 root root 1, 3 Jan 30 2003 /dev/null#mknod /chroot/mysql/dev/ null c 1 3#chown root:root /chroot/mysql/dev/null#chmod 666 /chroot/mysql/dev/null6． 拷貝mysql的資料庫檔案到chroot下 #cp -R /usr/local/mysql/var/ /chroot/mysql/usr/local/mysql/var#chown -R mysql:mysql /chroot/ mysql/usr/local/mysql/var7． 安裝chrootuid程式 下載chrootuid，然後RPM安裝即可。 HTTP://rpm.pbone.net/index.php3/stat/4/idpl/355932/com/chrootuid-1.3-alt2.i586.rpm.html 8． 測試Chroot環境下的MySQL配置 #chrootuid /chroot/mysql mysql /usr/local/mysql/libexec/mysqld &如果失敗請注意chroot目錄下面的許可權問題。 9． 測試連接chroot下的MySQL #/usr/local/mysql/bin/mysql --socket=/chroot/mysql/tmp/mysql.sock.......mysql>show databases;mysql>create database wgh;mysql>quit;#ls -al /chroot/mysql/var/ ....... 佈建服務器 為了更加安全地使用MySQL，需要對MySQL的資料庫進行安全配置。 由於Chroot的原因，設定檔也會有所不同。 1． 關閉遠端連線 首先，應該關閉3306埠，這是MySQL的預設監聽埠。 由於此處MySQL只服務于本地腳本，所以不需要遠端連線。 儘管MySQL內建的安全機制很嚴格，但監聽一個TCP埠仍然是危險的行為，因為如果MySQL程式本身有問題，那麼未授權的訪問完全可以繞過MySQL的內建安全機制。 關閉網路監聽的方法很簡單，在/chroot/mysql/etc/my.cnf檔中的[mysqld]部分，去掉#skip-networking前面的「#」即可。 關閉了網路，本地程式如何連接MySQL資料庫呢？ 本地程式可以通過mysql.sock來連接，速度比網路連接更快。 後文將提到關於mysql.sock的具體情況。 MySQL的備份通常使用SSH來執行。 2． 禁止MySQL導入本地檔 下面將禁止MySQL中用「LOAD DATA LOCAL INFILE」命令。 這個命令會利用MySQL把本地檔讀到資料庫中，然後使用者就可以非法獲取敏感資訊了。 為了禁止上述命令，在/chroot/mysql/etc/my.cnf檔的[mysqld]部分加入下面語句： set-variable=local-infile=0為了管理方便，一般在系統中的MySQL管理命令如mysql 、mysqladmin、mysqldump等，使用的都是系統的/etc/my.cnf檔。 如果要連接，它會尋找/tmp/mysql.sock檔來試圖連接MySQL伺服器，但是這裡要連接的是chroot下的MySQL伺服器。 解決辦法有兩個：一個是在管理命令後面加入--socket=/chroot/mysql/tmp/mysql.sock。 例如： #/usr/local/mysql/bin/mysql -root -p --socket=/chroot/mysql/tmp/mysql.sock另一個就是在/etc/my.cnf的[client]部分加入socket=/chroot/mysql/tmp/mysql.sock。 顯然，第二種方法方便多了。 3． 修改MySQL的root使用者ID和密碼 #chrootuid /chroot/mysql mysql /usr/local/mysql/libexec/mysqld &#/usr/local/mysql/bin/mysql -uroot.......mysql>SET PASSWORD FOR root@localhost=PASSWORD(new_password);要儘量養成在mysql下輸入密碼的習慣， 因為Shell下面輸入的時候可能會被其它人看見。 mysql>use mysql;mysql>update user set user="wghgreat" where user="root";mysql>select Host,User,Password, Select_priv,Grant_priv from user;mysql>delete from user where user=;mysql>delete from user where password=;mysql& gt;delete from user where host=%;mysql>drop database test;修改為一個不容易猜的ID： mysql>flush privileges;mysql>quit;4． 刪除歷史命令記錄 這些歷史檔包括~/.bash_history、~/.mysql_history等。 如果打開它們，你會大吃一驚，怎麼居然有一些明文的密碼在這裡？！ #cat /dev/null > ~/.bash_history#cat /dev/null > ~/.mysql_historyPHP和MySQL通信 預設情況下，PHP會通過/tmp/ mysql.sock來和MySQL通信，但這裡的一個大問題是MySQL生成的根本不是它，而是/chroot/mysql/tmp/mysql.sock。 解決的辦法就是做一個連接： #ln /chroot/mysql/tmp/mysql.sock /tmp/mysql.sock注意：由於hard links不能在檔案系統的分區之間做，所以該處的連接必須位於同一分區內部。 自啟動配置 自啟動配置前先提示一點，用於PHP的資料庫需要用一個新建的帳號，其上有資料庫許可權設置，比如FILE、GRANT、ACTER、SHOW DATABASE、RELOAD、SHUTDOWN、PROCESS、SUPER等。 自啟動腳本示例： #!/bin/shCHROOT_MYSQL=/chroot/mysql SOCKET=/tmp/mysql.sockMYSQLD=/usr/local/mysql/libexec/mysqldPIDFILE =/usr/local/mysql/var/`hostname`.pidCHROOTUID=/usr/bin/chrootuidecho -n " mysql"case "$1" instart)rm -rf ${SOCKET} nohup ${CHROOTUID} ${CHROOT_MYSQL} mysql ${MYSQLD} >/dev/null 2>&1 &sleep 5 && ln ${CHROOT_MYSQL}/$ {SOCKET} ${SOCKET};; stop)kill `cat ${CHROOT_MYSQL}/${PIDFILE}`rm -rf ${CHROOT_MYSQL}/${SOCKET};; *)echo ""echo "Usage: `basename $0` {start|stop}" >&2exit 64;; esacexit 0檔位於/etc/rc.d/init.d下，名為mysqld，注意要可執行。 #chmod +x /etc/rc.d/init.d/mysqld#ln -s /etc/rc.d/init.d/mysql /etc/rc3.d/S90mysql#ln -s /etc/rc.d/init.d/mysql /etc/ rc0.d/K20mysql儘管不能做到100％的安全，但是這些措施可以保護我們的系統更加安全。 責任編輯 趙毅 zhaoyi#51cto.com TEL:（010）68476636-8001 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文：如何安全的配置和應用MySQL資料庫？ 返回網路安全首頁