Bảo mật bàn làm việc MySQL

Trong quần thể các đối thủ nặng ký nguồn mở, ít công nghệ nào phổ biến như RDBMS của MySQL. Tích hợp với các gói phần mềm phổ biến như WordPress và ngăn xếp máy chủ như LAMP, MySQL đóng vai trò là nền tảng dữ liệu nền tảng cho phần lớn các trang web và dịch vụ đám mây trên internet ngày nay. Thật không may, sự phổ biến của nó chuyển thành các vectơ tấn công và khai thác bảo mật thường được biết đến hơn —sau đây là 11 cách để tăng cường bảo mật MySQL và bảo vệ dữ liệu của bạn hiệu quả hơn

11 cách để cải thiện bảo mật MySQL

1. Bỏ cơ sở dữ liệu thử nghiệm

Cơ sở dữ liệu thử nghiệm được cài đặt bởi gói Máy chủ MySQL như một phần của quy trình mysql_install_db có thể được tất cả người dùng truy cập đầy đủ theo mặc định, khiến nó trở thành mục tiêu chung của những kẻ tấn công. Do đó, nó nên được gỡ bỏ trong quá trình làm cứng sau cài đặt

2. Xóa tất cả tài khoản ẩn danh

MySQL theo mặc định tạo một số người dùng ẩn danh về cơ bản không phục vụ mục đích nào sau khi cài đặt. Do đó, các tài khoản này nên bị xóa vì sự hiện diện của chúng trên hệ thống cung cấp cho kẻ tấn công một điểm vào cơ sở dữ liệu

3. Thay đổi ánh xạ cổng mặc định

MySQL theo mặc định chạy trên cổng 3306. Điều này nên được thay đổi sau khi cài đặt để làm xáo trộn những dịch vụ quan trọng nào đang chạy trên cổng nào, vì những kẻ tấn công ban đầu sẽ cố gắng khai thác các giá trị mặc định

4. Thay đổi Máy chủ lưu trữ nào có quyền truy cập vào MySQL

Nếu được thiết lập như một máy chủ độc lập, [i. e. , nếu ứng dụng và máy chủ web truy vấn cơ sở dữ liệu từ một máy chủ khác], phiên bản MySQL phải được định cấu hình để chỉ cho phép truy cập vào các máy chủ được phép. Điều này có thể được thực hiện bằng cách thực hiện các thay đổi thích hợp trong máy chủ. từ chối và lưu trữ. cho phép tập tin

5. Không chạy MySQL với đặc quyền cấp gốc

MySQL phải được chạy dưới một tài khoản người dùng cụ thể, mới được tạo với các quyền cần thiết để chạy dịch vụ, thay vì trực tiếp với tư cách là người dùng root. Điều này bổ sung một số lợi ích kiểm tra và ghi nhật ký đồng thời ngăn chặn kẻ tấn công giành quyền truy cập bằng cách chiếm quyền điều khiển tài khoản người dùng gốc

6. Xóa và vô hiệu hóa tệp lịch sử MySQL

Giống như cơ sở dữ liệu Kiểm tra, tệp lịch sử MySQL nằm ở ~/. mysql_history được tạo theo mặc định trong quá trình cài đặt. Tệp này sẽ bị xóa vì nó chứa các chi tiết lịch sử liên quan đến các bước cài đặt và cấu hình đã thực hiện. Điều này có khả năng dẫn đến việc vô tình để lộ mật khẩu cho người dùng cơ sở dữ liệu quan trọng. Ngoài ra, một liên kết mềm cho. tệp mysql_history vào thiết bị null nên được tạo để dừng ghi nhật ký vào tệp

7. Vô hiệu hóa đăng nhập từ xa

Nếu cơ sở dữ liệu MySQL chỉ được sử dụng bởi các ứng dụng cục bộ, quyền truy cập từ xa vào máy chủ sẽ bị vô hiệu hóa. Điều này được thực hiện bằng cách mở /etc/my. cnf và thêm mục bỏ qua mạng trong phần [mysqld]. Định cấu hình MySQL để ngừng nghe trên tất cả các cổng TCP/IP bao gồm 127. 0. 0. 1 sẽ hạn chế hiệu quả quyền truy cập cơ sở dữ liệu đối với các giao tiếp dựa trên ổ cắm MySQL cục bộ

8. Giới hạn hoặc Vô hiệu hóa SHOW DATABASES

Một lần nữa, tước bỏ khả năng thu thập thông tin của những kẻ tấn công từ xa là rất quan trọng đối với một vị trí bảo mật an toàn. Vì lý do này, lệnh SHOW DATABASES nên được hạn chế hoặc loại bỏ hoàn toàn bằng cách thêm bỏ qua-show-cơ sở dữ liệu vào phần [mysqld] của tệp cấu hình MySQL tại /etc/my. cnf

9. Vô hiệu hóa việc sử dụng lệnh LOAD DATA LOCAL INFILE

Lệnh LOAD DATA LOCAL INFILE cho phép người dùng đọc các tệp cục bộ và thậm chí truy cập các tệp khác trên hệ điều hành, những tệp này có thể bị kẻ tấn công khai thác bằng các phương pháp như SQL injection. Do đó, lệnh sẽ bị vô hiệu hóa bằng cách chèn set-variable=local-infile=0 vào phần [mysqld] của tôi. cnf

10. Làm xáo trộn tài khoản gốc

Thay đổi tài khoản người dùng root mysql thành một tên khó đoán sẽ thêm một lớp bảo mật khác, vì những kẻ tấn công phải xác định tên tài khoản mới trước khi cố gắng cưỡng bức các giá trị mật khẩu

11. Đặt quyền truy cập tệp thích hợp

Hãy chắc chắn rằng tôi. cnf chỉ có thể ghi root. Ngoài ra, hãy đảm bảo rằng vị trí mặc định cho dữ liệu tại /usr/local/mysql/data được bảo mật đúng cách với các quyền thích hợp

Đây chỉ là 11 trong số vô số nhiệm vụ khó khăn để triển khai MySQL an toàn hơn. Bạn đang tìm cách thực hiện các kiểm tra này và tự động hơn trên toàn bộ môi trường MySQL của mình? . Hãy dùng thử—miễn phí cho tối đa 10 nút

MySQL Workbench có an toàn không?

Để đưa ra câu trả lời cho câu hỏi của bạn. Không, nó không an toàn

Làm cách nào để cung cấp bảo mật trong MySQL?

Để đảm bảo an toàn cho hệ thống MySQL, bạn nên xem xét kỹ các đề xuất sau. .
Yêu cầu tất cả tài khoản MySQL phải có mật khẩu. .
Đảm bảo rằng tài khoản người dùng Unix duy nhất có đặc quyền đọc hoặc ghi trong thư mục cơ sở dữ liệu là tài khoản được sử dụng để chạy mysqld

Tính bảo mật của MySQL là gì?

MySQL bao gồm một số thành phần và plugin triển khai các tính năng bảo mật. Các plugin để xác thực nỗ lực của khách hàng để kết nối với Máy chủ MySQL . Plugin có sẵn cho một số giao thức xác thực. Để thảo luận chung về quy trình xác thực, xem Phần 4. 17, “Xác thực có thể cắm”.

Cơ sở dữ liệu MySQL có thể được mã hóa không?

MySQL Enterprise TDE cho phép mã hóa dữ liệu lưu trữ bằng cách mã hóa các tệp vật lý của cơ sở dữ liệu . Dữ liệu được mã hóa tự động, theo thời gian thực, trước khi ghi vào bộ nhớ và được giải mã khi đọc từ bộ nhớ. Do đó, tin tặc và người dùng độc hại không thể đọc dữ liệu nhạy cảm trực tiếp từ các tệp cơ sở dữ liệu.

