Útmutató mysql
4.2.2. Hogyan készítsünk MySQL Secure hackerek ellen
Amikor csatlakozik egy MySQL szervert használnak, általában egy jelszót. Keresztül a kapcsolatot jelszót nem egyszerű szöveges, de a titkosító algoritmus nem túl bonyolult. Magyarázat hacker ha tudott elfogják forgalmat a kliens és a szerver, egy bizonyos kitartás feltörni a jelszót. Ezért, ha a kapcsolat a kliens és a szerver végzi egy nem megbízható hálózaton való kommunikáció titkosítására, az SSH-alagút.
Ha ön használ MySQL 4.0, akkor is használhatja a biztosított ez a verzió támogatja az OpenSSL protokoll. Lásd Lásd 4.3.9 „biztonságos kapcsolatot”.
A biztonság, a MySQL-rendszer szükséges, hogy szigorúan tartsák be a következő irányelveket:
Minden MySQL felhasználóknak rendelkezniük kell jelszavakat. Kliens / szerver alkalmazások általánosan elfogadott, hogy az ügyfél meg semmilyen felhasználói név, de ha other_user nincs jelszó, akkor bárki mehet olyan névvel egyszerűen gépelés mysql -u other_user db_name. Ennek elkerülése érdekében meg lehet változtatni a jelszót minden felhasználó szerkeszti a mysql_install_db forgatókönyvet, mielőtt elindítunk egy alkalmazást, vagy csak a jelszót a root -user MySQL, az alábbiak szerint:
Ne működtesse a MySQL démon, mint a Unix root felhasználó nevét. Ez nagyon veszélyes, mert minden felhasználó, aki a FILE kiváltság. képesek lesznek létrehozni fájlokat root (például
Ennek eredményeként, a szerver elindul a kijelölt felhasználó, függetlenül attól, hogy indul kézzel vagy safe_mysqld vagy mysql.server. További információkért lásd: Lásd A.3.2, «MySQL fut, mint egy normál felhasználó.”
Nem támogatják szimbolikus linkeket asztalok (le is lehet tiltani a --skip-symlink opció). Ez különösen fontos akkor, ha olyan mysqld root. mert az, aki a való hozzáférés jogát az adatbázisban található katalógusok mysqld. majd törölje a fájlt a rendszer! Lásd Lásd 5.6.1.2 «szimbolikus kötések táblázatokban.”
Ügyeljen arra, hogy a Unix felhasználó, akinek a nevében a távon `mysqld”, az az egyetlen felhasználó olvasási / írási jogosultságokat az adatbázis könyvtárak.
Ne adjon ELJÁRÁS kiváltság, hogy minden felhasználó számára. A parancs MySQLadmin processlist szöveget megjelenítő kérelmek feldolgozása az adott pillanatban. Ezért minden felhasználó, aki a jogot, hogy ezt a parancsot kap egy esélyt, hogy olvassa el, például az ilyen másik felhasználó kérésére a UPDATE felhasználói SET password = jelszó ( "not_secure). mysqld fenntartja extra csatlakozó felhasználók számára, akik a kiváltság ELJÁRÁS. úgy, hogy a MySQL root felhasználó tud csatlakozni és ellenőrzése még abban az esetben, ha minden normális kapcsolat.
Ne adjon FILE kiváltság, hogy minden felhasználó számára. Bármely felhasználó, aki ezt a kiváltságot fájlt írhat bárhol a fájlrendszerben a kiváltságokat a démon mysqld. Ahhoz, hogy ez egy kicsit biztonságosabb, az összes fájl generált SELECT. INTO OUTFILE. nyilvánosságra a rekordot, nem írja felül a meglévő fájlokat.
A FILE kiváltság is fel lehet használni, hogy olvassa el a fájlt elérhetővé a Unix felhasználó, amelynek nevében a szerver elindul.
Azt is olvasni minden fájlt az aktuális adatbázisban. Ezt fel lehet használni a személyes nyereség. Talán, például a LOAD DATA parancs betöltéséhez / etc / passwd egy asztal és olvasás később a SELECT.
Ahhoz, hogy a szám a kapcsolat egyetlen felhasználó, akkor lehetséges, hogy az értéket a mysqld max_user_connections.