文章內(nèi)容

MySQL數(shù)據(jù)庫(kù)安全規(guī)范

發(fā)布時(shí)間: 2012/7/4 11:45:44

MySQL數(shù)據(jù)庫(kù)安全規(guī)范
MySQL 數(shù)據(jù)庫(kù)目前存在三個(gè)穩(wěn)定版本的分支，4.1系列，5.0系列以及5.1系列。4.1分支已經(jīng)不再提供安全補(bǔ)丁，5.0分支和5.1分支均在正常開(kāi)發(fā)中。
1.在正式生產(chǎn)環(huán)境中，禁止使用4.1系列的MySQL數(shù)據(jù)庫(kù)。
2.5.0分支至少需要5.0.77或者版本。
3.5.1分支至少需要5.1.28或者以上版本

網(wǎng)絡(luò)和端口
1.在數(shù)據(jù)庫(kù)只需供本機(jī)使用的情況下，使用—skip-networking參數(shù)禁止監(jiān)聽(tīng)網(wǎng)絡(luò)。
2.在數(shù)據(jù)庫(kù)需要提供網(wǎng)絡(luò)訪問(wèn)時(shí)，只可使用TCP 3306端口，一臺(tái)服務(wù)器運(yùn)行多個(gè)數(shù)據(jù)庫(kù)示例是從3306開(kāi)始累加。
3.數(shù)據(jù)庫(kù)提供網(wǎng)絡(luò)訪問(wèn)時(shí)，需要明確指定bind-address參數(shù)只監(jiān)聽(tīng)內(nèi)網(wǎng)IP地址。
4.數(shù)據(jù)庫(kù)端口禁止開(kāi)放到公網(wǎng)。因業(yè)務(wù)需求需要跨越外網(wǎng)傳輸數(shù)據(jù)時(shí)必須在防火墻上進(jìn)行源IP地址限制，在傳輸涉及到用戶身份證之類敏感數(shù)據(jù)時(shí)需要使用SSL加密的MySQL通道或者IPSec VPN通道。

認(rèn)證和授權(quán)
1.禁止root賬號(hào)從網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)庫(kù)， root賬號(hào)只允許來(lái)自本地主機(jī)的登陸。
2.root賬號(hào)只可在進(jìn)行系統(tǒng)維護(hù)且不得不使用的情況下使用。
3.應(yīng)用系統(tǒng)在使用數(shù)據(jù)庫(kù)時(shí)只可使用新建賬號(hào)，不得使用系統(tǒng)默認(rèn)賬號(hào)。
4.每一個(gè)應(yīng)用系統(tǒng)使用一個(gè)數(shù)據(jù)庫(kù)賬號(hào)，且只可對(duì)該應(yīng)用需要的數(shù)據(jù)庫(kù)具備權(quán)限，同時(shí)該帳戶只允許來(lái)自其所屬應(yīng)用的IP地址的登錄。
5.賬號(hào)必須使用強(qiáng)壯密碼，同時(shí)包含大寫字母，小寫字母以及數(shù)字，長(zhǎng)度必須在8位以上，并且數(shù)字和字母都不得少于3個(gè)。
6.除root之外的其它賬號(hào)，不得擁有File，Grant，Reload，Shutdown，Process等權(quán)限中的任意一種。特別規(guī)定，數(shù)據(jù)庫(kù)監(jiān)控賬號(hào)可以擁有Process權(quán)限。
7.除root之外的其它賬號(hào)，不得擁有系統(tǒng)數(shù)據(jù)庫(kù)的任何權(quán)限

文件權(quán)限
1.安裝MySQL數(shù)據(jù)庫(kù)時(shí)，給MySQL數(shù)據(jù)庫(kù)建立mysql組和屬于該組的mysql賬號(hào)。
2.MySQL的數(shù)據(jù)目錄、日志目錄，以及目錄下的文件屬主和屬組只能是mysql賬號(hào)，不能給其它賬號(hào)任何權(quán)限。
3.數(shù)據(jù)庫(kù)日志文件屬主和屬組只能是mysql賬號(hào)，不能給其它賬號(hào)任何權(quán)限。

本文出自：億恩科技【mszdt.com】

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]