MySQL 是世界上最流行的开源数据库系统,而MariaDB(MySQL的一个分支)是世界上发展最快的开源数据库系统。安装MySQL服务器之后,它的默认配置是不安全的,保护它是一般数据库管理中的基本任务之一。 这将有助于加强和提升整体Linux服务器安全性,因为攻击者总是扫描系统任何部分的漏洞,而数据库过去一直是关键的目标。一个常见的例子是暴力破解MySQL数据库的root密码。 在本指南中,将讲解在 Linux 很有用的 MySQL / MariaDB 安全性最佳实践。
MySQL 安全性安装
这是安装 MySQL 服务器后第一个建议的步骤,用于保护数据库服务器。此脚本通过要求你提供以下内容,有助于提高MySQL服务器的安全性:
- 如果在安装期间未设置 root 帐户,请为 root 帐户设置密码
- 删除能从本机之外远程登录的 root 账号,来禁止远程 root 用户登录
- 删除匿名用户和测试数据库,测试数据库默认情况下所有用户都能访问的,甚至是匿名用户
mysql_secure_installation运行后,设置root密码并输入[Yes/ Y]回答一系列问题,然后按 [Enter]
将数据库绑定到回环地址
这配置将限制远程机器访问,它会告诉 MySQL 服务器只接受 本地(localhost) 的连接。你可以在主配置文件中这样设置
# vi /etc/my.cnf [RHEL/CentOS] # vi /etc/mysql/my.conf [Debian/Ubuntu] OR # vi /etc/mysql/mysql.conf.d/mysqld.cnf [Debian/Ubuntu]在 [mysqld] 部分下面添加以下行
bind-address = 127.0.0.1在MySQL中禁用 LOCAL INFILE
作为安全性强化的一部分, 你需要在主配置文件的 [mysqld] 下用添加这条语句禁用 local_infile 以防止从 MySQL 内部访问底层文件系统。
local-infile=0更改MYSQL默认端口
port 变量是用于监听 TCP/IP 连接的 MySQL 端口号。 MySQL 默认的端口号是 3306 , 但可以在配置文件的 [mysqld] 下面,修改
port=3307
译者语,如果是系统用 Selinux 的,换端口可能会导致不能启动。你可以选择关闭 SeLinux,或者做以下的命令
yum install -y policycoreutils-python semanage port -a -t mysqld_port_t -p tcp 3307当你查看命令行的历史记录的最后一行的时,你就会看到密码显示在上面
连接 MySQL 适当的方法是:
# mysql -u root -p Enter password:创建应用程序专用数据库用户
对于每个跑在服务器上的每个应用程序,只给一个用户访问指定应用程序的数据库。例如,如果你有一个 wordpress 的网站,就那 wordpress 的网站的数据库创建一个特定的用户。 如下所示:
mysql -u root -pCREATE DATABASE osclass_db; CREATE USER 'osclassdmin'@
