基于Linux对MySQL数据库的安全加固指南(超实用--实战版)

这篇具有很好参考价值的文章主要介绍了基于Linux对MySQL数据库的安全加固指南(超实用--实战版)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

👨‍🎓博主简介

  🏅云计算领域优质创作者
  🏅华为云开发者社区专家博主
  🏅阿里云开发者社区专家博主
💊交流社区:运维交流社区 欢迎大家的加入!
🐋 希望大家多多支持,我们一起进步!😄
🎉如果文章对你有帮助的话,欢迎 点赞 👍🏻 评论 💬 收藏 ⭐️ 加关注+💗



基于Linux对MySQL数据库的安全加固指南(超实用--实战版),《Linux从入门到精通》,# 《Linux服务器安全》,《Mysql从入门到“跑路”》,linux,mysql,运维,数据库安全

前言

MySQL数据库是业务系统中常用的关系型数据库,但是由于其广泛使用,也成为安全攻击的目标。因此,数据库安全加固至关重要。下面将为大家提供一份基于Linux的MySQL数据库安全加固指南,帮助大家保护自己及公司的数据库免受潜在的安全威胁。

常见的MySQL数据库攻击方式包括SQL注入,暴力破解和拒绝服务攻击。以下是一些简单的加固方法:

  • 1.修改默认端口:MySQL默认端口为3306,容易被攻击者扫描到,建议修改为其他端口。
  • 2.安装防火墙:通过配置防火墙,可以控制数据库的访问权限,并防止恶意请求。
  • 3.强化密码:使用强密码并定期更新。避免使用简单的密码,比如123456和qwerty等。强密码包括:(复杂密码应包括大小写字母、数字和特殊字符),可参考此文章随机生成密码:【Linux】Centos7 随机生成密码
  • 4.删除无用的账户:删除不必要的账户以减少攻击面。
  • 5.开启SSL/TLS连接:开启MySQL的ssl选项,启用加密传输可以提高安全性。
  • 6.控制访问权限:控制应用程序对MySQL的操作权限,限制只能读取和操作必要的表、字段和行。
  • 7.开启日志:开启MySQL的日志功能,记录所有的查询操作,以便后期审查和追踪攻击来源。
  • 8.定期备份数据,并将备份数据存储在安全的位置。备份是防止数据丢失和恢复数据的重要手段。这里推荐一份定时定期备份数据的脚本:mysql数据库定时备份脚本+定时删除 。
  • 9.禁用root远程登陆,启用访问控制: 在MySQL配置文件中启用访问控制,只允许特定的IP地址或主机名访问数据库。这样可以防止未授权的访问尝试。
  • 10.监控和警报: 设置数据库监控工具和警报系统,及时发现和响应潜在的安全事件和异常活动。

除了以上措施,还有一些其他的技巧可以帮助加强MySQL数据库的安全性。例如,使用双因素身份验证,设置入侵检测系统进行实时监控。

总之,MySQL数据库的安全加固是必要的,可以在攻击者趁虚而入之前有效地减少数据库安全风险。

下面给大家讲解一些实例吧!

数据库加固实例

1、修改mysql默认端口

在配置文件中修改端口,配置文件名为:“my.cnf”在服务器中的/etc/下;

  如果使用的是容器的方式部署的,可以修改一下创建容器时对外开放的端口,具体容器修改端口可参考:docker修改容器的端口、容器名、映射地址…

来看看容器外部署的数据库如何修改;

cat /etc/my.cnf

找到port,注意my.cnf可能会有两个port,一个是[client]下的,一个是[mysqld]下的,修改[mysqld] 下的port即可,client下的也可以修改,主要是[mysqld]下的生效;
修改完重启数据库,有一点如果访问不到,可以先查看端口有没有起来,如果起来了,就检查防火墙,如果没起来,就去看数据库启动报错或日志;

基于Linux对MySQL数据库的安全加固指南(超实用--实战版),《Linux从入门到精通》,# 《Linux服务器安全》,《Mysql从入门到“跑路”》,linux,mysql,运维,数据库安全

修改完重启一下服务即可生效。

2、安装配置防火墙

使用centos中自带的firewall-cmd来管理防火墙即可;

#开启防火墙
systemctl restart firewalld

#开放数据库的端口
#开放3306端口、加载防火墙配置、查看端口是否开放
firewall-cmd --permanent --add-port=3306/tcp
firewall-cmd --reload
firewall-cmd --list-ports | grep 3306

3、强化密码

可参考此文章随机生成密码:【Linux】Centos7 随机生成密码
这样安全性比较高,如果想要自己设置当然也可以;建议使用强密码并定期更新。避免使用简单的密码,比如123456和qwerty等。强密码包括:(复杂密码应包括大小写字母、数字和特殊字符)。

4、开启日志

开启log-bin日志,可在配置文件中开启;/etc/my.cnf

log-bin=mysql-bin

基于Linux对MySQL数据库的安全加固指南(超实用--实战版),《Linux从入门到精通》,# 《Linux服务器安全》,《Mysql从入门到“跑路”》,linux,mysql,运维,数据库安全

开启完,重启服务生效;


mariadb日志一般会存储在 /var/lib/mysql 下;
容器的方式部署的mysql,日志数据一般会存在 /var/lib/mysql/data/ 下。

基于Linux对MySQL数据库的安全加固指南(超实用--实战版),《Linux从入门到精通》,# 《Linux服务器安全》,《Mysql从入门到“跑路”》,linux,mysql,运维,数据库安全

5、定期备份数据

这里推荐一个定期备份的脚本:mysql数据库定时备份脚本+定时删除

建议放在数据库数据存储目录下(对于健忘的人来说比较好找),当然也可以自己找一个隐蔽安全的地方放起来(如果怕忘记,可以计一个笔记),然后设置定时任务,定时全备;

定时备份,需要写周期性计划任务:
#周期性计划任务(每天完备一次)
0 0 */1 * * root /bin/sh 脚本路径/back.sh

脚本可修改的内容:
1、数据库信息:用户名、密码、ip、端口
2、备份的路径及日志文件名
3、脚本保留的天数
4、要备份的库(注意里面的说明,如需备份多个库,可以用到数组,如只备份一个库,可直接使用命令备份即可,总之,注意里面的说明)
5、备份库的文件名和打包备份的文件名 6、日志文件内打印的内容

日志文件的内容展示:
— 创建备份文件: 20230510.sql.tgz
开始:2023年05月10日 16:06:15 结束:2023年05月10日 16:06:20 succ

6、控制访问权限

说明:
username:你将创建的用户名
host:指定该用户在哪个主机上可以登陆,如果是本地用户可用localhost,如果想让该用户可以从任意远程主机登陆,可以使用通配符%
password:该用户的登陆密码,密码可以为空,如果为空则该用户可以不需要密码登陆服务器

  • 限制访问数据库ip和用户名

开放的ip:
localhost
172.16.11.11
172.16.11.12
172.16.11.13
172.16.11.14

这时候先不要删除远程登录,可以先在远程连接的第三方工具连接创建普通用户和指定某一个ip,因为linux查看用户列表的时候视觉感不是很好,所以等创建完指定ip和用户名,测试完之后,在关闭远程登陆和root登陆。提示:切记要互相可以ping通,才可以,否则设置了要是连不上问题还要找好久。

  • 使用navicat连接到数据库;
#进入mysql库中
use mysql;

#查看当前可以访问到该数据库的用户和权限
select * from user;

可以看到本地和远程都可以连接到该数据库,那么下来我们就给他做限制;

基于Linux对MySQL数据库的安全加固指南(超实用--实战版),《Linux从入门到精通》,# 《Linux服务器安全》,《Mysql从入门到“跑路”》,linux,mysql,运维,数据库安全

开放单用户及ip测试

#首先创建一个库,(后面要用到这个库)
create database cs;

#创建一个用户
create user cs@'localhost' identified by '123123';
#给该用户设置权限(只给cs这个库的所有权限)
grant all privileges on cs.* to 'cs'@'localhost' identified by '123123';
#其实他两可合并为一条命令,那就是直接执行第二条就行;
#PROCESS权限,可以执行解释执行计划操作的权限(需要额外授予表上的select权限)。
#授权PROCESS权限
grant process on *.* to 'cs'@'localhost';
#刷新权限
flush privileges;

#查看用户权限(只可以用root用户查看)
#该命令可以在linux上执行查看,也可以在其他工具上查看
show grants for 'cs'@'localhost';
#或者(该命令仅限于linux上查看)
select * from mysql.user where user="cs" \G;
  • 查看权限

基于Linux对MySQL数据库的安全加固指南(超实用--实战版),《Linux从入门到精通》,# 《Linux服务器安全》,《Mysql从入门到“跑路”》,linux,mysql,运维,数据库安全
基于Linux对MySQL数据库的安全加固指南(超实用--实战版),《Linux从入门到精通》,# 《Linux服务器安全》,《Mysql从入门到“跑路”》,linux,mysql,运维,数据库安全

  • 然后看mysql/user表,可以看到多了一个cs用户,只可以本地访问数据库,然后测试登陆;

基于Linux对MySQL数据库的安全加固指南(超实用--实战版),《Linux从入门到精通》,# 《Linux服务器安全》,《Mysql从入门到“跑路”》,linux,mysql,运维,数据库安全

mysql -ucs -p123123

基于Linux对MySQL数据库的安全加固指南(超实用--实战版),《Linux从入门到精通》,# 《Linux服务器安全》,《Mysql从入门到“跑路”》,linux,mysql,运维,数据库安全

成功登陆,并且有cs这个库的所有权限;
而用第三方登陆,就登陆不上,比如我们用navicat连接测试;
很显然,登陆不上的这是;

基于Linux对MySQL数据库的安全加固指南(超实用--实战版),《Linux从入门到精通》,# 《Linux服务器安全》,《Mysql从入门到“跑路”》,linux,mysql,运维,数据库安全

批量开放用户及ip测试

#批量创建用户
create user cs@'172.16.11.11',cs@'172.16.11.12',cs@'172.16.11.13',cs@'172.16.11.14' identified by '123123';
#给批量用户设置权限(只给cs这个库的所有权限)
grant all privileges on cs.* to cs@'172.16.11.11',cs@'172.16.11.12',cs@'172.16.11.13',cs@'172.16.11.14' identified by '123123';
#其实他两可合并为一条命令,那就是直接执行第二条就行;
#PROCESS权限,可以执行解释执行计划操作的权限(需要额外授予表上的select权限)。
#授权PROCESS权限
grant process on *.* to cs@'172.16.11.11',cs@'172.16.11.12',cs@'172.16.11.13',cs@'172.16.11.14';
#刷新权限
flush privileges;

#查看用户权限(只可以用root用户查看)
#该命令可以在linux上执行查看,也可以在其他工具上查看(此命令只可每次查一个)
show grants for 'cs'@'172.16.11.11';
#或者(该命令仅限于linux上查看,可以查看所有的cs用户,并输出所有信息)
select * from mysql.user where user="cs" \G;

基于Linux对MySQL数据库的安全加固指南(超实用--实战版),《Linux从入门到精通》,# 《Linux服务器安全》,《Mysql从入门到“跑路”》,linux,mysql,运维,数据库安全

  • 然后看mysql/user表,可以看到多了一个好几个cs用户,但是host不一样,也就是可以访问的ip主机不一样,只有上面显示的这几个访问数据库,然后测试登陆;

基于Linux对MySQL数据库的安全加固指南(超实用--实战版),《Linux从入门到精通》,# 《Linux服务器安全》,《Mysql从入门到“跑路”》,linux,mysql,运维,数据库安全

也可以使用mysql命令远程登陆测试,如果你在其他服务器上想访问本地服务器的数据库,前提是必须可以ping通要访问某台数据库的ip,可以使用:

mysql -h IP -P端口 -u用户名 -p密码

例如:
mysql -h 172.16.10.10 -P3306 -uroot -p123123

禁止root用户远程登录

禁止root用户远程登录(切记要留一条root使用localhost登陆的,如果没有就不要禁用了,因为禁用了你就真的在哪都使用不了root了,就需要重新安装了)

delete from user where user='root' and host='%';
#刷新权限
flush privileges;

#可以再次查询一下是否存在
select * from mysql.user where user="root" \G;

可以看到只剩一个root@localhost了,那么就成功禁用的root远程登陆;

基于Linux对MySQL数据库的安全加固指南(超实用--实战版),《Linux从入门到精通》,# 《Linux服务器安全》,《Mysql从入门到“跑路”》,linux,mysql,运维,数据库安全

6.1 附加

删除用户

drop user cs@'172.16.11.11';

批量删除用户

drop user cs@'172.16.11.12',cs@'172.16.11.13';

修改root密码:(%为远程登陆,localhost为本机登录)

alter user 'root'@'localhost' identified by '要修改的密码';
alter user 'root'@'%' identified by '要修改的密码';

#刷新权限
flush privileges;

安装mariadb时初始化数据库

mysql_secure_installation

开启数据库远程连接

grant all privileges  on *.* to root@'%' identified by "123123";

#刷新权限
flush privileges;

7、监控和警报

可以使用zabbix取关键词告警或者是Prometheus + Grafana;
推荐文章:文章来源地址https://www.toymoban.com/news/detail-725487.html

  • zabbix添加自定义监控项&告警(邮件)
  • 【Linux】部署Prometheus + Grafana简介、监控及设置告警详细操作(多种方式安装,亲测无问题)

本文可参考文献

文章标题 文章地址
【Linux】Centos7 随机生成密码 http://t.csdn.cn/RnMZf
mysql数据库定时备份脚本+定时删除 https://download.csdn.net/download/liu_chen_yang/87776124?spm=1001.2014.3001.5503
docker修改容器的端口、容器名、映射地址… https://liucy.blog.csdn.net/article/details/124511738
zabbix添加自定义监控项&告警(邮件) https://liucy.blog.csdn.net/article/details/124101253
【Linux】部署Prometheus + Grafana简介、监控及设置告警详细操作(多种方式安装,亲测无问题) https://liucy.blog.csdn.net/article/details/131049402
mysql、mysqldump命令离线包(可直接使用命令) https://download.csdn.net/download/liu_chen_yang/87769961?spm=1001.2014.3001.5503
【Linux】Centos安装mariadb并授权远程登陆 https://liucy.blog.csdn.net/article/details/132077172

相关文章:

文章标题 文章地址
基于Linux对MySQL数据库的安全加固指南(超实用) https://liucy.blog.csdn.net/article/details/131936739
Centos7安装Mysql5.7(超详细版) https://liucy.blog.csdn.net/article/details/124930789
【Linux】Centos安装mariadb并授权远程登陆 https://liucy.blog.csdn.net/article/details/132077172
【云原生】Docker之创建并进入mysql容器 https://liucy.blog.csdn.net/article/details/126288434

到了这里,关于基于Linux对MySQL数据库的安全加固指南(超实用--实战版)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • MySQL入门指南:数据库操作的基础知识

    当谈到关系型数据库管理系统(RDBMS)时,MySQL无疑是最常见和广泛使用的一个。它是一个强大的工具,用于存储、管理和检索数据。在这篇博客中,我们将介绍MySQL的基本知识,包括数据库的操作、数据表的操作以及数据的增删改查~~ 目录 1. 数据库的操作 1.1 创建数据库 1.2 删除

    2024年02月07日
    浏览(96)
  • MySQL数据库索引优化指南:提升查询效率的利器

    本文将详细探讨MySQL数据库索引的概念、作用以及不同类型的索引,包括主键索引、唯一索引和普通索引。通过实际案例分析,我们将深入理解索引的工作原理,并提供实用的优化建议,帮助读者提升数据库性能。

    2024年02月09日
    浏览(86)
  • Python数据库编程全指南SQLite和MySQL实践

    本文分享自华为云社区《Python数据库编程全指南SQLite和MySQL实践》,作者: 柠檬味拥抱。 首先,我们需要安装Python的数据库驱动程序,以便与SQLite和MySQL进行交互。对于SQLite,Python自带了支持;而对于MySQL,我们需要安装额外的库,如 mysql-connector-python 。 SQLite是一种轻量级的

    2024年03月28日
    浏览(56)
  • 成为MySQL大师的第一步:轻松学习MySQL数据库的终极指南!

    官网:https://dev.mysql.com/ 1.1 安装 1.1.1 版本 MySQL官方提供了两个版本: 商业版本(MySQL Enterprise Edition) 该版本是收费的,我们可以使用30天。 官方会提供对应的技术支持。 社区版本(MySQL Community Server) 该版本是免费的,但是MySQL不会提供任何的技术支持。 1.1.2 安装 官网下载

    2024年02月06日
    浏览(43)
  • MySQL 数据库实用指南:测试数据准备、SQL语句规范与基本操作

    欢迎来到小K的MySQL专栏,本节将为大家准备MySQL测试数据、以及带来SQL语句规范、数据库的基本操作的详细讲解 要学习SQL查询语句,首先必须解决一个问题,数据问题。为了方便大家学习阅读我的文章,在这里提供了一个test.sql文件 ✨ 登录MySQL,输入 source xxx/test.sql 导入sql文

    2024年02月08日
    浏览(79)
  • Mysql迁移至KingBase(金仓数据库)避坑指南-Java版

            最近因为项目国产化需要,需要将Mysql数据库适配到金仓数据库中,就此给大家分享一下我的采坑过程。如有错误。恳请指正! 官网地址 人大金仓-成为世界卓越的数据库产品与服务提供商 金仓社区 金仓社区-数据库使用者、DBA开发人员、数据化经营者已入驻 安装

    2024年02月10日
    浏览(69)
  • MySQL Workbench 使用教程 - 如何使用 Workbench 操作 MySQL / MariaDB 数据库中文指南

    MySQL Workbench 是一款专门为 MySQL 设计的可视化数据库管理软件,我们可以在自己的计算机上,使用图形化界面远程管理 MySQL 数据库。 有关 MySQL 远程管理软件,你可以选择 Windows 下的 HeidiSQL,MacOS 下的 Sequel Ace 或者 MySQL 官方推出的跨平台客户端 MySQL Workbench 。 本文使用 Mac 版

    2024年02月10日
    浏览(43)
  • 更安全,更省心丨DolphinDB 数据库权限管理系统使用指南

    在数据库产品使用过程中,为保证数据不被窃取、不遭破坏,我们需要通过用户权限来限制用户对数据库、数据表、视图等功能的操作范围,以保证数据库安全性。为此,DolphinDB 提供了具备以下主要功能的权限管理系统: 提供用户和组角色,方便权限控制 提供19种权限控制

    2024年02月15日
    浏览(37)
  • MySQL 数据库操作指南:LIMIT,OFFSET 和 JOIN 的使用

    您可以通过使用\\\"LIMIT\\\"语句来限制查询返回的记录数量。以下是一个示例,获取您自己的Python服务器中\\\"customers\\\"表中的前5条记录: 如果您想返回五条记录,从第三条记录开始,可以使用\\\"OFFSET\\\"。以下是一个示例: 通过使用JOIN语句,您可以基于它们之间的相关列合并两个

    2024年02月05日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包