資料安全是每乙個企業都非常關注的問題,甚至有的企業,資料就是一切,失去資料則可能造成無法估計,無法挽回的損失,甚至產品永久下線的風險。
提高資料庫使用者,資料庫安全相關意識。
增強資料庫抵抗能力,降低資料庫故障機率,維護資料庫資料安全。
網路層面:將mysql伺服器處在乙個有保護的區域網之中,而不是暴露在公網之中,屬於基礎運維層面。
機器層面:主要是開啟防火牆,按需開放埠,避免未授權的登入,防止檔案的篡改,資料檔案的損壞,屬於基礎運維層面。
mysql服務層: 即mysql自身防禦措施,也是資料庫的核心安全策略,屬於dba運維層面。
以上1,2步驟各個服務,各種資料庫都需要做,都可以做,第三步,則屬於mysql資料庫獨有
4.1、資料庫訪問授權管理模組
mysql資料庫訪問授權管理模組分為,使用者管理模組,訪問控制模組
使用者管理:使用者管理,dba應對各用途分別建立各自使用者,主要是負責使用者登陸連線相關的基本許可權控制,類似於我們的門禁系統,只有公司內部員工,且輸入正確的密碼,才能開啟門進入公司內部。
訪問控制:許可權管理,dba應對各用途使用者分別授予不同許可權,以最小滿足需要為準,類似我們的開發同學與運維同學的區別,只有運維同學才有許可權登陸到線上機器做基本運維操作(update,delete,等),開發同學就只能**(select)
4.2、資料庫許可權層級介紹
mysql資料庫許可權表,user@host,db,table_priv,column_priv(基本算是4層許可權控制,每一層都包含了低層的所有許可權)
使用者登入許可權(線上一般分為超級使用者,程式使用者,普通查詢使用者)
全域性性的管理許可權,作用於整個mysql例項級別。
資料庫級別的許可權,作用於某個指定的資料庫上或者所有的資料庫上。
資料庫物件級別的許可權,作用於指定的資料庫物件上(表、檢視等) 或者所有的資料庫物件上。
許可權表驗證過程 1.通過user@host表驗證使用者是否有登陸許可權(此處有引數max_connect_errors,此引數防止暴力破解mysql密碼,連續錯誤連線多少次,則ip被拉進小黑屋,需要通過flush hosts 解除); 2.通過驗證的使用者對資料庫的任何操作,都需要具體的許可權驗證,包括對資料庫不同物件(庫,表,列,檢視,儲存過程,函式,索引,匯入匯出,狀態查詢)的增刪改查等操作。
4.3、資料庫安全的運維工作
備份恢復: 備份,備份,備份(重要的事情說三次),備份包括資料備份,與日誌備份,dba 應對資料庫規劃好完整備份策略,不同場景使用不同備份策略,一般情況備份需要多處備份,不應堆疊在乙個地方,提高容錯性。備份需要定期檢查,備份並非是十分可靠的,需要人工檢查備份是否正確,一般可以加入監控項中。且需要經常進行恢復演練,以便處理問題時候做到沉著冷靜,不至於手足無措。
資料加密: 資料庫使用者使用強密碼策略,程式中可以對配置檔案的密碼進行加密處理,對於系統資料庫中重要資料,進行加密處理,防止出現最壞的情形。禁止在資料庫中儲存銘文密碼。
引數配置: 根據機器效能和業務需求,合理設定資料庫各引數,最大連線數,記憶體占用,資料刷寫模式等,使資料庫得以安全、穩定、高效的執行。
應用程式: 防止sql注入
附 mysql官方參考手冊: (mysql安全準則)
附 阿里雲參考手冊: (mysql服務安全加固)
mysql安全管理 資料庫 MySQL 安全管理
資料庫 mysql 安全管理 0 2015 05 29 00 00 49 dos下進入mysql的方法 1.進入mysql安裝目錄cd c program files mysql mysql server 5.6 bin 2.使用者登入mysql hlochlhost uabc pabc h 表示伺...
MySQL資料庫 資料庫管理
建立使用者,指定明文密碼 create user rose localhost identified by rosepwd 檢視使用者是否建立成功 select user,host from mysql.user 建立使用者,不設定密碼 create user rose01 localhost se...
資料庫的安全管理
安全方案 1.基於網路安全機制 資料庫伺服器和客戶機傳送的資料是明文的。保證對網路上傳送的資料報進行加密。保證資料庫伺服器所在的作業系統的安全性。成熟的網路安全技術 vpn ssl 數字證書。網路技術適合於比較敏感或專用的資料庫系統。2.基於sql server本身實現的方案 伺服器的身份驗證 登入...