MySQL數(shù)據(jù)庫生產(chǎn)環(huán)境安全規(guī)范-創(chuàng)新互聯(lián)

一、MySQL服務(wù)器安全規(guī)范
1. 禁止應(yīng)用直連DB，一般通過代理訪問
2. 禁止DB公網(wǎng)訪問。
3. 禁止生產(chǎn)和辦公互通，需生產(chǎn)環(huán)境和辦公環(huán)境隔離。
4. Linux系統(tǒng)初始化安全選項(xiàng):
1）、一些alias，寫入/etc/profile，防止誤操作
alias c='clear'
alias cp='cp -i'
alias l.='ls -d .* --color=auto'
alias ll='ls -l --color=auto'
alias ls='ls --color=auto'
alias mv='mv -i'
alias rm='rm -i'
alias MySQL='MySQL -U'
其中MySQL －U，防止update和delete沒有指定條件，拒絕操作。
2）、刪除linux操作日志信息、MySQL操作歷史記錄，避免被拖庫。
rm .bash_history .MySQL_history
ln -s /dev/null .bash_history
ln -s /dev/null .MySQL_history
3）、避免"Too many open files"
OS限制：cat /etc/security/limits.conf,MySQL用戶能夠打開65535個(gè)文件描述符
MySQL soft nofile 65535
MySQL hard nofile 65535
my.cnf參數(shù)修改：
open_files_limit = 65535
innodb_open_files=65535
5. MySQL初始化配置安全選項(xiàng)：
1）、合理規(guī)劃目錄結(jié)構(gòu)，日志目錄順序?qū)懡ㄗh機(jī)械盤（binlog/slowlog/relaylog），數(shù)據(jù)目錄隨機(jī)寫建議ssd。
2）、MySQL相關(guān)目錄設(shè)置專用MySQL組和用戶，MySQL后臺(tái)啟動(dòng)方式不能以root來啟動(dòng)，比如通過MySQL用戶。
3）、設(shè)置bind-address為內(nèi)網(wǎng)本機(jī)IP。
4）、修改MySQL默認(rèn)服務(wù)端口號(hào)，不推薦使用3306，不同業(yè)務(wù)設(shè)置不同的端口號(hào)。
5）、通過修改max_connections和max_user_connections來控制大連接數(shù)，過載保護(hù)。
6）、啟用safe-user-create，用戶不能用GRANT語句創(chuàng)建新用戶，除非用戶有MySQL.user表的INSERT權(quán)限。
7）、禁止local-infile=1，打開load data local file權(quán)限，避免數(shù)據(jù)泄漏和黑客攻擊。
8）、禁止skip-grant-tables啟動(dòng)，防止MySQL繞過權(quán)限系統(tǒng)
9）、配置加上skip-name-resolve，防止主機(jī)名不被解析。
10）、禁止skip-networking，其它機(jī)器不能使用tcp/ip連接。
11）、禁止symbolic-links=1，關(guān)閉軟鏈接功能。
二、MySQL帳號(hào)管理安全策略和MySQL權(quán)限相關(guān)的系統(tǒng)表：
1. MySQL.USER表
2. MySQL.DB表
3. MySQL.TABLES_PRIV表
4. MySQL.COLUMNS_PRIV表
自上而下，逐級(jí)驗(yàn)證，逐級(jí)進(jìn)行賬戶權(quán)限的粒度控制
MySQL初始化：
1. 刪除線上密碼長(zhǎng)度小于16的帳號(hào)。
2. 刪除非root賬戶
3. 刪除非localhost和127.0.0.1賬戶。
4. 刪除test數(shù)據(jù)庫
5. 賬號(hào)區(qū)分：監(jiān)控帳號(hào)、管理帳號(hào)、復(fù)制帳號(hào)、備份帳號(hào)、應(yīng)用帳號(hào)
1）、監(jiān)控帳號(hào)（localhost和127.0.0.1）：
GRANT SELECT,PROCESS,REPLICATION CLIENT
2）、備份帳號(hào)（localhost和127.0.0.1）：
GRANT SELECT,LOCK TABLES,RELOAD
3）、復(fù)制帳號(hào)（對(duì)應(yīng)主庫ip）：
GRANT REPLICATION SLAVE,REPLICATION CLIENT
4）、管理帳號(hào)（對(duì)應(yīng)代理ip）：
GRANT ALL PRIVILEGES
5）、root帳號(hào)
root密碼采用強(qiáng)密碼策略，至少32位隨機(jī)密碼，推薦使用pwgen和makepasswd來生成32位隨機(jī)密碼，包含大小寫、數(shù)字、字母、特殊字符。
root帳號(hào)只授權(quán)l(xiāng)ocalhost和127.0.0.1，不得授予%權(quán)限。
root帳號(hào)建議每3個(gè)月修改一次，不同實(shí)例，設(shè)置不同的root密碼。
6）、應(yīng)用帳號(hào)
a. 應(yīng)用帳號(hào)不得擁有Super、Create、Drop、File，Grant，Reload，Shutdown，Process等權(quán)限。
b. 最小權(quán)限原則：select,insert,update,delete權(quán)限，禁止應(yīng)用帳號(hào)權(quán)限設(shè)置為all。
c. 應(yīng)用帳號(hào)不得擁有系統(tǒng)數(shù)據(jù)庫（MySQL）的任何權(quán)限，不能使用*.*來授權(quán)。
d. 應(yīng)用帳號(hào)只給所屬應(yīng)用的數(shù)據(jù)庫授權(quán)，只給其所屬應(yīng)用的IP或代理授權(quán)。
e. MySQL從庫必須添加read-only,只給select權(quán)限，嚴(yán)禁all，導(dǎo)致只讀失效。
f. 應(yīng)用帳號(hào)密碼策略同root，建議每3個(gè)月修改一次。
三、MySQL數(shù)據(jù)安全策略
1. 物理（xtrabackup）和邏輯（MySQLdump）相結(jié)合的備份策略，全備+增量+異地。
2. 數(shù)據(jù)庫備份文件定期回放，定期驗(yàn)證備份的可恢復(fù)性。
3. 針對(duì)重要業(yè)務(wù)系統(tǒng)建立delay數(shù)據(jù)庫或者采取Linux初始化時(shí)設(shè)置lvm策略，可快照閃回。
4. 假設(shè)有Binlog Server，遇到緊急情況可數(shù)據(jù)恢復(fù)。
附：MySQL命令行提示配置
MySQL -uroot -p123456 --prompt="MySQL-\\v->[\\r:\\m:\\s] [\\u@\\h:\\d] >"

網(wǎng)頁題目：MySQL數(shù)據(jù)庫生產(chǎn)環(huán)境安全規(guī)范-創(chuàng)新互聯(lián)
文章地址：http://muchs.cn/article46/pedeg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供小程序開發(fā)、定制網(wǎng)站、面包屑導(dǎo)航、手機(jī)網(wǎng)站建設(shè)、品牌網(wǎng)站建設(shè)、關(guān)鍵詞優(yōu)化

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容