MySQL中怎么保護(hù)重要數(shù)據(jù)

這篇文章給大家介紹MySQL中怎么保護(hù)重要數(shù)據(jù)，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

　　◆刪除授權(quán)表中的通配符

　　MySQL訪問控制系統(tǒng)通過一系列所謂的授權(quán)表運行，從而對數(shù)據(jù)庫、表格或欄目級別的用戶訪問權(quán)利進(jìn)行定義。但這些表格允許管理員為一名用戶設(shè)定一攬子許可，或一組應(yīng)用通配符的表格。這樣做會有潛在的危險，因為黑客可能會利用一個受限的賬戶來訪問系統(tǒng)的其他部分。由于這一原因，在設(shè)置用戶特權(quán)時要謹(jǐn)慎，始終保證用戶只能訪問他們所需的內(nèi)容。在給個別用戶設(shè)定超級特權(quán)時要尤其小心，因為這種級別允許普通用戶修改服務(wù)器的基本配置，并訪問整個數(shù)據(jù)庫。

　　建議：對每個用戶賬戶應(yīng)用顯示特權(quán)命令，以審查授權(quán)表，了解應(yīng)用通配符許可是否恰當(dāng)。

　　◆要求使用安全密碼

　　用戶賬號的安全與用來保護(hù)它們的密碼密切相關(guān)。因此，在安裝MySQL時第一件事就應(yīng)該設(shè)置MySQL根賬號的密碼(默認(rèn)為空)。修復(fù)這一后，接下來就應(yīng)要求每個用戶賬號使用一個密碼，且不要使用生日、用戶名或字典中的單詞這些容易識別的啟發(fā)式密碼。

　　建議：應(yīng)用MySQL-安全-授權(quán)選項避免使用舊的，不大安全的MySQL密碼格式。

　　◆檢查配置文件許可

　　一般來說，要使服務(wù)器連接更為快速方便，單個用戶和服務(wù)器管理員必須把他們的用戶賬號密碼存儲在單用戶MySQL選項文件中。但是，這種密碼是以純文本形式存儲在文件中的，很容易就可以查閱。因此，必須保證這樣的單用戶配置文件不被系統(tǒng)中的其他用戶查閱，且將它存儲在非公共的位置。理想情況下，你希望單用戶配置文件保存在用戶的根目錄，許可為0600。

　　◆加密客戶與服務(wù)器之間數(shù)據(jù)傳送 :

　　MySQL(及其它)客戶與服務(wù)器構(gòu)架的一個重要問題就是通過網(wǎng)絡(luò)傳送數(shù)據(jù)時的安全問題。如果客戶與服務(wù)器間的交互以純文本形式發(fā)生，黑客就可能“嗅出”被傳送的數(shù)據(jù)包，從而獲得機密信息。你可以通過激活MySQL配置中的SSL，或應(yīng)用一個OpenSSH這樣的安全應(yīng)用來為傳送的數(shù)據(jù)建立一個安全的加密“通道”，以關(guān)閉這一漏洞。以這種形式加密客戶與服務(wù)器連接可使未授權(quán)用戶極難查閱往來的數(shù)據(jù)。

　　◆禁止遠(yuǎn)程訪問

　　如果用戶不需要遠(yuǎn)程訪問服務(wù)器，你可以迫使所有MySQL連接通過UNIX插槽文件來完成，從而大大減少網(wǎng)絡(luò)受攻擊的風(fēng)險。這一過程可通過跳過網(wǎng)絡(luò)選項啟動服務(wù)器來完成。這樣可以阻止TCP/IP網(wǎng)絡(luò)連接到MySQL上，保證沒有用戶可以遠(yuǎn)程連接系統(tǒng)。

　　建議：可以在MySQL服務(wù)器配置中添加捆綁地址127.0.0.1指令來增強這一功能，迫使MySQL捆綁當(dāng)?shù)貦C器的IP地址來保證只有同一系統(tǒng)中的用戶可以連接到MySQL。

　　◆積極監(jiān)控MySQL訪問記錄

　　MySQL中帶有很多不同的日志文件，它們記錄客戶連接，查詢和服務(wù)器錯誤。其中，最重要的是一般查詢?nèi)罩?，它用時間標(biāo)簽記錄每名客戶的連接和中斷時間，并記錄客戶執(zhí)行的每個查詢。如果你懷疑發(fā)生了不尋常的行為，如網(wǎng)絡(luò)入侵，那么監(jiān)控這個日志以了解行為的來源是個好方法。

關(guān)于MySQL中怎么保護(hù)重要數(shù)據(jù)就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。