mysql系统安全管理与优化

1. 禁止MySql以管理员账号权限运行

MySql应该使用非管理员账号运行,以普通账户安全运行mysqld

加固方法:在my.cnf配置文件中配置user=mysql

2. 设置root用户口令并修改登录名,且不存在空密码账户

  • 修改root用户密码,在MySql控制台中执行:
> set password for 'root'@'localhost'=password('new_password');
#实际操作中,只需将上面new_password换成实际的口令即可
  • 为了更有效的改进root用户的安全性,就是为其改名。需要更新表用户中的mysql数据库。在控制台中执行:
> use mysql;
> update user set user="another_username" where user="root";
> flush privileges;

然后,可用通过$ mysql -u another_username -p 访问mysql控制台了。

  • 数据库中所有用户都应该配置密码,通过以下语句可以查询是否有空密码账户:
> select * from mysql.user where user="";

3. 配置合适的密码强度,最长使用期限小于90天

  • 数据库用户Miami复杂性包括长度、大小写和特殊字符。

加固方法:添加以下配置行到全局配置

plugin-load = validate_password.so        #加载密码强度验证插件
validate_password_length = 14             #密码长度最小为14,默认为8      
validate_password_mixed_case_count = 1    #至少包含的小写字母个数和大写字母个数
validate_password_number_count = 1        #至少包含的数字个数
validate_password_special_char_count = 1  #至少包含的特殊字符个数
validate_password_policy = MEDIUM         #密码强度等级,有三种:0/LOW、1/MEDIUM、2/STRONG,默认为MEDIUM

关于密码强度的三种等级,要求如下:

Policy                 Tests Performed
0 or LOW               Length
1 or MEDIUM            Length; numeric, lowercase/uppercase, and special characters
2 or STRONG            Length; numeric, lowercase/uppercase, and special characters; dictionary file
  • 用户密码过期时间小于90天,在控制台执行:
> set global default_password_lifetime=90;

4. 降低用户的数据库特权,只有管理员有完整的数据库访问权限

  • MySql数据库中mysql.user和mysql.db表列出了可以授权(或拒绝)给mysql用户的各种权限,通常,这些特权不应该对每个mysql用户都可用,而且通常只保留给管理员用户。

加固方法:审计每项特权授予的用户,对于非管理用户,使用revoke语句来适当删除权限。

# mysql.user表中的特权有:
file_priv:表示是否允许用户读取数据库所在主机的本地文件;
Process:表示是否允许用户查询所有用户的命令执行信息;
Super_priv:表示用户是否有设置全局变量,管理员调试等高级别权限;
Shutdown_priv:表示用户是否可以关闭数据库;
Create_user_priv:表示用户是否可以创建或删除其他用户;
Grant_priv:表示用户是否可以修改其他用户权限

查询正在执行的sql语句:

> show processlist;
# 或者
> use information_schema;
> select * from PROCESSLIST where info is not null;

使用如下命令查看拥有对应权限的数据库账号:

select host,user from mysql.user where File_priv='Y';

如果存在非管理员用户,使用如下命令进行权限回收:

revoke file on *.* from 'mysql';

5. 禁止或限制远程访问,确保特定主机才拥有访问权限

> grant all on *.* to 'root'@'%';
  • 上面这个授权,允许root用在所有主机上对数据库的所有执行权限,要限制特定主机可以采用:
> grant all on *.* to 'root'@'localhost';
> grant all on *.* to 'root'@'hostname_ip'; #可以是ip或者主机名

如果,要取消在某台主机上的访问权限,可以采用:

> revoke all on *.* from 'root'@'hostname_ip';

如果,只授权部分权限,可以采用:

> grant select on mydb.* to 'someuser'@'hostname_ip';

6. 配置MySql日志便于审计

原文地址:http://blog.51cto.com/fengjicheng/2140828

时间: 2024-11-01 21:00:51

mysql系统安全管理与优化的相关文章

MySQL系统架构

已经很久没有写博客了,平时总感觉没有时间写,但是却有大把的时间去走神,去做一些无用的事情.写博客是挺锻炼人的一个过程,不仅锻炼写作能力,坚持写还能够大幅提升技术水平,写出来还能够有广大的网友帮助我们纠错,一起探讨问题.平时有很多的知识点似懂非懂,可能放个假期,仅有的知识点也就随风飞向远方了.技术层出不穷,很多时候会让我们应接不暇,但是有很多知识点是万变不离其宗,把握两个原则,少即是多,快即是慢.对某一方面要有足够的深度,然后再去扩展广度.最近开始深入学习mysql,志同道合者一同走起嘞. 以下内

MySql学习(六) —— 数据库优化理论(二) —— 查询优化技术

逻辑查询优化包括的技术 1)子查询优化  2)视图重写  3)等价谓词重写  4)条件简化  5)外连接消除  6)嵌套连接消除  7)连接消除  8)语义优化 9)非SPJ优化 一.子查询优化 1. 什么是子查询:当一个查询是另一个查询的子部分时,称之为子查询. 2. 查询的子部分,包含的情况: a) 目标列位置:子查询如果位于目标列,则只能是标量子查询,否则数据库可能返回类似“错误:子查询只能返回一个字段 ( [Err] 1242 - Subquery returns more than 1

MySQL之schema设计优化

良好的逻辑设计和物理设计是高性能的基石,应该根据系统要执行的查询语句来设计 schema.这往往需要权衡各种因素. 例如:反范式的设计可以加快某些类型的查询,但同时可能使另一些类型的查询变慢.比如添加计数表和汇总表是一种很好的优化查询的方式, 但是这些表的维护成本会很高.MySQL独有的特性和实现细节对性能影响也很大. 选择优化的数据类型的简单原则: 1.更小的通常更好 一般情况下,应该尽量使用可以正确存储数据的最小数据类型. 2.简单就好 简单数据类型的操作通常需要更少的cpu周期. 3.尽量

MySQL设计规范与性能优化

引言 MySQL是目前使用最为广泛的关系型数据库之一,如果使用得当,可支撑企业级高并发.高可靠服务,使用不当甚至连并发量略高的个人网站都难以支撑: 就算使用了缓存,大量的数据库访问依旧在所难免,即使设置了较长的缓存有效期,而且缓存命中率较理想,但缓存的创建和过期后的重建都是需要访问数据库的: 本文主要从MySQL表结构设计规范和MySQL自身性能优化两方面来讨论该如何对MySQL数据库进行优化: MySQL表结构设计规范 1. 数据库设计命名规范 (1)数据库,数据表一律使用前缀,前缀名称一般不

mysql系统数据库

mysql系统数据库主要存储了一些存储MySQL服务的系统信息表.一般情况下mysql库的表都是MYASIM引擎,除非个别情况.mysql库的表的作用大致可以分为以下几类: (1)授权系统表 (2)系统对象信息系统表 (3)日志系统表 (4)服务器端辅助系统表 (5)time zone系统表 (6)复制相关系统表 (7)optimizer相关系统表 (8)其他系统表,下面详细看一看 下面详细讲: 一:授权系统表(Grant System Tables) 授权的一些表主要有以下几个: user:

在Ubuntu上源码安装MySQL+安装问题解决+安全优化

0.说明 当然,MySQL的安装方法多种多样,在Ubuntu上,你可以采用apt-get的方式安装,这样的好处是:快速方便.基本上,它会帮你解决所有的函数库依赖问题,正常情况下,只要apt-get执行完成,那么MySQL也就可以使用了. 但我更倾向于使用源码的方式来安装MySQL,原因也很简单:除了有详细的官方文档外,你还可以非常清楚地知道你自己在做什么,这点在以后MySQL运行出现问题时将会有很大的帮助! 但即便是按照官方文档来安装,你也会遇到各种各样的问题,这里,我将呈现一个完整的过程给大家

101个MySQL的调节和优化的Tips

MySQL 是一个功能强大的开源数据库.随着越来越多的数据库驱动的应用程序,人们一直在推动MySQL发展到它的极限.这里是101条调节和优化MySQL安装的技巧.一些技巧是针对特定的安装环境的,但这些思路是通用的.我已经把他们分成几类,来帮助你掌握更多MySQL的调节和优化技巧. MySQL 服务器硬件和操作系统调节: 1. 拥有足够的物理内存来把整个InnoDB文件加载到内存中——在内存中访问文件时的速度要比在硬盘中访问时快的多.2. 不惜一切代价避免使用Swap交换分区 – 交换时是从硬盘读

100个MySQL 的调节和优化的提示

MySQL是一个功能强大的开源数据库.随着越来越多的数据库驱动的应用程序,人们一直在推动MySQL发展到它的极限.这里是101条调节和优化MySQL安装的技巧.一些技巧是针对特定的安装环境的,但这些思路是通用的.我已经把他们分成几类,来帮助你掌握更多MySQL的调节和优化技巧. MySQL 服务器硬件和操作系统调节: 1. 拥有足够的物理内存来把整个InnoDB文件加载到内存中——在内存中访问文件时的速度要比在硬盘中访问时快的多. 2. 不惜一切代价避免使用Swap交换分区 – 交换时是从硬盘读

美图秀秀DBA谈MySQL运维及优化

https://mp.weixin.qq.com/s?__biz=MzI4NTA1MDEwNg==&mid=401797597&idx=2&sn=a0fc08dbb8ce399f0d4cd70bff5b1366&scene=0&key=62bb001fdbc364e56abc83575de147aa1f6fe32d5f4bad7190eadb03350bcfba18b0c9740d43855a5b45e5286bd457cd&ascene=7&uin