提高M(jìn)ySQL數(shù)據(jù)庫(kù)的安全（3）

俗話說(shuō)，知識(shí)就是力量。請(qǐng)確認(rèn)你已經(jīng)了解了MySQL的權(quán)限系統(tǒng)，以及授予特定權(quán)限的后果。請(qǐng)不要授予任何用戶不必要的權(quán)限。應(yīng)該查看garnt表來(lái)確認(rèn)這一點(diǎn)。

特別的，如果不是絕對(duì)需要，請(qǐng)不要將PROCESS、FILE、SHUTDOWN和RELOAD等權(quán)限授予任何非管理員的用戶。PROCESS權(quán)限可觀察其他用戶正在做什么，輸入了什么，包括他們輸入的密碼。FILE權(quán)限可以用來(lái)讀寫(xiě)操作系統(tǒng)中的文件，例如，包括UNIX系統(tǒng)中的/etc/password。

GRANT權(quán)限也要在授予的時(shí)候非常小心，因?yàn)樗麄儨?zhǔn)許用戶將自己的權(quán)限分享給其他用戶。

請(qǐng)確認(rèn)在建立用戶的時(shí)候，只授予他們從當(dāng)前連接的主機(jī)訪問(wèn)數(shù)據(jù)庫(kù)權(quán)限。有一個(gè)名為jane@localhost的用戶，這沒(méi)有問(wèn)題，但是簡(jiǎn)單的jane是非常常見(jiàn)的，他可能從任何地方進(jìn)行登錄--這個(gè)jane可能不是你想象中的jane。同樣的原因，我們應(yīng)該避免在主機(jī)名中使用通配符。

可以通過(guò)在host表中使用IP地址而不是域名來(lái)提高安全性能。這可以在DNS位置避免錯(cuò)誤問(wèn)題或者黑客入侵。可以通過(guò)啟動(dòng)MySQL后臺(tái)程序--skip-name-resolve選項(xiàng)加強(qiáng)它，該選項(xiàng)的意思是所有主機(jī)列的值必須是IP地址或本地主機(jī)。

此外，還應(yīng)該防止非管理員用戶訪問(wèn)Web服務(wù)器中的mysqladmin程序。因?yàn)檫@是從命令行運(yùn)行的，它是操作系統(tǒng)權(quán)限的問(wèn)題。

限制遠(yuǎn)程訪問(wèn)MySQL服務(wù)器

對(duì)于大多數(shù)用戶來(lái)說(shuō)，不需要通過(guò)不安全的開(kāi)放網(wǎng)絡(luò)來(lái)訪問(wèn)MySQL服務(wù)器。你可以通過(guò)配置防火墻或硬件，或者迫使MySQL只聽(tīng)從localhost來(lái)限制主機(jī)。此外，需要SSH隧道才能進(jìn)行遠(yuǎn)程訪問(wèn)。

如果你想僅僅從本地主機(jī)來(lái)限制用戶建立連接，你需要在在配置文件中添加bind-address=127.0.0.1。

【相關(guān)推薦】

提高M(jìn)ySQL數(shù)據(jù)庫(kù)的安全性（一）

提高M(jìn)ySQL數(shù)據(jù)庫(kù)的安全性（二）

提高M(jìn)ySQL數(shù)據(jù)庫(kù)的安全性（四）

以上就是提高M(jìn)ySQL數(shù)據(jù)庫(kù)的安全性（三）的詳細(xì)內(nèi)容，更多請(qǐng)關(guān)注php中文網(wǎng)其它相關(guān)文章！