熱點推薦:
您现在的位置: 電腦知識網 >> 編程 >> SQL語言 >> 正文

數據庫安全防護幾點介紹

2013-11-13 12:40:12  來源: SQL語言 

  企業最有價值的資產通常是其數據庫中的客戶或產品信息因此在這些企業中數據庫管理的一個重要部分就是保護這些數據免受外部攻擊及修復軟/硬件故障

  在大多數情況下軟硬件故障通過數據備份機制來處理多數數據庫都自帶有內置的工具自動完成整個過程所以這方面的工作相對輕松也不會出錯但麻煩卻來自另一面阻止外來黑客入侵竊取或破壞數據庫中的信息不幸的是一般沒有自動工具解決這一問題;而且這需要管理員手工設置障礙來阻止黑客確保公司數據的安全

  不對數據庫進行保護的常見原因是由於這一工作麻煩復雜這確實是事實但如果你應用MySQL就可以使用一些方便的功能來顯著減少面臨的風險下面列出了以下幾個功能

  刪除授權表中的通配符

  MySQL訪問控制系統通過一系列所謂的授權表運行從而對數據庫表格或欄目級別的用戶訪問權利進行定義但這些表格允許管理員為一名用戶設定一攬子許可或一組應用通配符的表格這樣做會有潛在的危險因為黑客可能會利用一個受限的賬戶來訪問系統的其他部分由於這一原因在設置用戶特權時要謹慎始終保證用戶只能訪問他們所需的內容在給個別用戶設定超級特權時要尤其小心因為這種級別允許普通用戶修改服務器的基本配置並訪問整個數據庫

  建議對每個用戶賬戶應用顯示特權命令以審查授權表了解應用通配符許可是否恰當

  要求使用安全密碼

  用戶賬號的安全與用來保護它們的密碼密切相關因此在安裝MySQL時第一件事就應該設置MySQL根賬號的密碼(默認為空)修復這一漏洞後接下來就應要求每個用戶賬號使用一個密碼且不要使用生日用戶名或字典中的單詞這些容易識別的啟發式密碼

  建議應用MySQL安全授權選項避免使用舊的不大安全的MySQL密碼格式

  檢查配置文件許可

  一般來說要使服務器連接更為快速方便單個用戶和服務器管理員必須把他們的用戶賬號密碼存儲在單用戶MySQL選項文件中但是這種密碼是以純文本形式存儲在文件中的很容易就可以查閱因此必須保證這樣的單用戶配置文件不被系統中的其他用戶查閱且將它存儲在非公共的位置理想情況下你希望單用戶配置文件保存在用戶的根目錄許可為

  加密客戶與服務器之間數據傳送

  MySQL(及其它)客戶與服務器構架的一個重要問題就是通過網絡傳送數據時的安全問題如果客戶與服務器間的交互以純文本形式發生黑客就可能嗅出被傳送的數據包從而獲得機密信息你可以通過激活MySQL配置中的SSL或應用一個OpenSSH這樣的安全應用來為傳送的數據建立一個安全的加密通道以關閉這一漏洞以這種形式加密客戶與服務器連接可使未授權用戶極難查閱往來的數據

  禁止遠程訪問

  如果用戶不需要遠程訪問服務器你可以迫使所有MySQL連接通過UNIX插槽文件來完成從而大大減少網絡受攻擊的風險這一過程可通過跳過網絡選項啟動服務器來完成這樣可以阻止TCP/IP網絡連接到MySQL上保證沒有用戶可以遠程連接系統

  建議可以在MySQL服務器配置中添加捆綁地址指令來增強這一功能迫使MySQL捆綁當地機器的IP地址來保證只有同一系統中的用戶可以連接到MySQL

  積極監控MySQL訪問記錄

  MySQL中帶有很多不同的日志文件它們記錄客戶連接查詢和服務器錯誤其中最重要的是一般查詢日志它用時間標簽記錄每名客戶的連接和中斷時間並記錄客戶執行的每個查詢如果你懷疑發生了不尋常的行為如網絡入侵那麼監控這個日志以了解行為的來源是個好方法

  保護你的MySQL數據庫是一個日常工作因此即使完成了上述步驟也還需要你利用更多的時間去了解更多的安全建議積極監控並更新你的系統安全


From:http://tw.wingwit.com/Article/program/SQL/201311/16349.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.