亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何理解MySQL服務器安全

發布時間:2021-10-22 13:52:00 來源:億速云 閱讀:127 作者:iii 欄目:數據庫

這篇文章主要講解了“如何理解MySQL服務器安全”,文中的講解內容簡單清晰,易于學習與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學習“如何理解MySQL服務器安全”吧!

MySQL服務器安全

對于自建機房的MySQL服務器安裝都會經歷網絡配置,存儲規劃,安裝服務器以,安裝MySQL。

如何理解MySQL服務器安全

存儲安全

自建MySQL服務器

對于自建MySQL服務器來說,為了磁盤不出現單點故障,一般都會使用RAID磁盤冗余陣列的方式。

有兩種模式:硬件RAID和軟件RAID,硬件RAID需要購買RAID卡支撐,軟件RAID通過軟件包mdadm生成即可,生產環境建議選擇硬件RAID,一般需要對多塊盤先做RAID,對于數據庫服務器來說,通常選擇RAID10(也稱為RAID  1 + 0,先進行鏡像RAID1,再進行條帶化RAID0存儲),讀寫性能都比較好。

如何理解MySQL服務器安全

在實際的生產環境,一般都會有8塊盤,每塊盤800G,在服務器啟動的時候,先做磁盤RAID劃分,通常劃分兩個卷組(volume  group),一個是操作系統內置目錄使用rootvg,一個就是MySQL的數據相關的卷組datavg,LVM操作主要的步驟如圖:

如何理解MySQL服務器安全

通過以上的存儲劃分及配置RAID10,MySQL產生的數據都會寫到/data目錄下,同步到邏輯卷lvdata中,進而同步到物理卷中,最終同步到物理磁盤中鏡像存儲,有效避免了單盤損壞導致的數據不可用。

公有云RDS

對于RDS來說,線上環境一般都選擇高可用版,即一主一從模式,默認情況下Slave只做failover(故障切換),主要是由于Master和Slave服務器的磁盤沒有做RAID。

如何理解MySQL服務器安全

網絡安全

  • 設置白名單

對于自建機房,一般都會使用硬件防火墻來做網絡隔離以及IP白名單限制,只允許指定的應用服務器通過3306端口連接MySQL  Server,其他的惡意請求應該在防火墻層面進行攔截,例如RDS控制臺的數據安全可以添加指定IP。

如何理解MySQL服務器安全

  • 外網訪問

數據庫服務器只需要內網訪問,禁止開通外網地址或者公網地址。

如何理解MySQL服務器安全

操作系統安全

安裝完操作系統(例如CentOS 7.4)后,要進行安全漏洞掃描及定期巡檢,主要有以下幾個方面需要注意:

root啟動MySQL

MySQL  Server安裝完之后,如果用root啟動MySQL,則任何具有FILE系統權限的用戶都可以讀寫root用戶下的文件,會造成嚴重的安全隱患,應該將軟件目錄屬主設置成root用戶,數據目錄屬主設置成mysql用戶,使用mysql用戶啟動MySQL實例。

賬號弱密碼

Linux服務器的所有賬號密碼不能是弱密碼(例如密碼是純數字,純字母,賬號的一部分等,長度太短),建議所有的賬號都設置20位長度,包括數字,大寫字母,小寫字母以及特殊字符。

如何理解MySQL服務器安全

對外開放端口

對于MySQL數據庫服務器,除了3306端口開發給指定的應用服務器訪問外,其他的端口都應該禁用掉,例如ssh, ftp, telent服務端口。

服務漏洞

在用綠盟或者其他工具進行安全掃描時,都會發現一些系統漏洞,常見的有ntp漏洞,vsftpd的漏洞等。這時就需要停機去打patch修復,再次進行掃描,直到全部通過才能安裝MySQL。

密碼登錄

對于生產服務器,嚴禁本地通過密碼直接登錄,建議采用跳板機 jumpserver 的方式,每個用戶都用自己 jumpserver  賬號去登錄,然后選擇自己要訪問的服務器(需要提前告知管理員添加),默認的登錄用戶(例如 server 用戶)只有只讀權限,不能做任何修改操作。

如何理解MySQL服務器安全

審計功能

用戶通過 jumpserver 登錄到生產服務器的所有操作都應該被審計和錄屏,并且定時回放這些操作,確認每一步都是最優的,沒有不必要的多操作。

操作命令歷史

用戶登錄到 Linux 服務器上的所有操作命令都會記錄到 history 中,將 history 設置大一點,保存更多的操作命令記錄。

如何理解MySQL服務器安全

資源限制

通過配置/etc/security/limits.conf文件限制用戶資源使用,例如打開進程數,文件數,文件大小及內存等。

如何理解MySQL服務器安全

服務器備份

定期的對服務器進行備份,備份內容主要包括 Linux 內置目錄(/usr /var  /lib)和MySQL數據目錄(數據文件,binlog,undolog, redolog),同時要定期檢查備份的有效性以及恢復演練,以下是阿里云 ECS  的快照,建議每天一個快照,保留7天。

如何理解MySQL服務器安全

MySQL數據庫安全

賬號安全

如何理解MySQL服務器安全

賬號密碼

建議所有的賬號都設置20位長度,包括數字,大寫字母,小寫字母以及特殊字符,如^N9UxOR&ydQWCBvIwqql

賬號分離

對于分布式系統來說,會有多個服務,且服務之間存在調用關系,比如交易 trade-service 會調用支付 payment-service。

為了安全起見,給每個服務創建一個數據庫,同時分配自己的賬號,禁止跨庫訪問。

如何理解MySQL服務器安全

賬號權限

保證賬號權限最小化原則,對于業務賬號來說,只需要授予連接,查詢,新增,修改的權限即可。

使用SSL連接

對于數據安全性要求比較高的業務,建議啟用SSL連接,這樣即使用抓包工具分析,也不能看到具體的SQL文本。但從SSL實現方式來看,建立連接時需要進行握手、加密、解密等操作,連接建立階段比較耗時,如果使用連接池或者長連接不會有太大影響,如果是短連接性能損耗比較大。

系統權限

mysql.user權限

除了MySQL root賬號之外,其他任何賬號對mysql.user的表有修改權限,會帶來安全風險:賬號密碼被修改和認證插件修改。

修改賬號密碼

如何理解MySQL服務器安全

修改密碼認證方式

MySQL默認都是本地密碼認證插件  mysql_native_password,如果改成auth_socket,則不需要密碼,只檢查用戶是否使用UNIX套接字進行連接,然后比較用戶名即可。

如何理解MySQL服務器安全

權限風險

一般允許普通開發人員通過 jumpserver 登錄到中轉機,然后用mysql -h -u  -p以只讀賬號的方式訪問數據庫,有時也想看一下information_schema下長事務(innodb_trx)等相關的信息,需要授予process系統管理權限,會帶來一些安全隱患。

如何理解MySQL服務器安全

這樣只讀賬號也能查看innodb_trx表中所有業務賬號正在執行的SQL語句,SQL可能包含敏感信息。

如何理解MySQL服務器安全

在以前的MySQL版本,擁有process系統權限的用戶還可以鎖定系統表,比如lock table mysql.user  read,導致正常修改用戶的操作

FILE權限

具有FILE權限可以將數據通過SELECT…..INTO OUTFILE…..寫到服務器上有寫權限的目錄下,作為文本格式存放,也可以通過LOAD DATA  INFILE…將文本文件數據導入到數據表中。

如何理解MySQL服務器安全

審計功能

安裝 MySQL Server 之后,應該配置和開啟 Audit Plugin,這樣經過 MySQL Server 執行所有的 SQL  都會被記錄下來,一方面可以排除問題,另一方面可以做性能監控分析(例如一段時間內某個SQL的QPS,TPS)。

數據備份

需要定時備份數據文件和 binlog,對于自建 MySQL  服務器,可以使用xtrabackup去做每天的物理全備,對于RDS來說,需要配置備份策略,同時也要定期的檢查的備份完整性和有效性。

如何理解MySQL服務器安全

異地容災

對于核心的業務系統,比如交易,支付等,要做好數據庫的異地容災,避免由于地震等自然災害造成數據不可恢復。

如何理解MySQL服務器安全

數據安全

數據是企業寶貴的資源,每個業務域產生的數據以及需要的數據都不一樣,如何保證安全的訪問數據是非常重要的,一般大公司都有自己的數據管理平臺,比如阿里的iDB,現在已經是一個服務DMS(數據管理服務),可以管理各種類型的數據庫。

數據訪問范化

所有數據變更都應該走審批流程,發起人和審批人不能是同一個,重要敏感的數據操作需要提交工單,進行多級審批,確認沒有問題才能執行,執行之前要先做好備份,以便回滾時使用。

建議使用數據庫管理平臺來管理數據庫,一般需要用戶注冊賬號,申請權限(數據導出,結構變更,數據變更),服務Owner審批,提交工單進入審批流程等操作,所有的操作環節都會記錄操作日志。

如何理解MySQL服務器安全

數據脫敏

對核心業務表的敏感字段要進行脫敏處理,例如姓名,郵箱,電話號碼,身份證號碼,可以利用中間平臺去處理,例如阿里云的DMS可以配置數據脫敏,支持數據庫,表,字段三個級別,默認在平臺上查詢都是以*號顯示,如果想要查看明文,需要申請敏感數據權限,并提交工單,審批通過后才可以查看,權限時間默認為一天,最長不超過7天。

在做營銷活動之前,都會做數據庫性能壓測,需要把PROD數據庫全量導入UAT環境,會涉及一些敏感數據,一般需要通過中間層做脫敏處理,例如手機號可以前3位后3位進行打碼處理,15222210123脫敏成152****123。

如何理解MySQL服務器安全

數據加密

從MySQL  5.7開始,InnoDB支持對獨立表空間靜態數據加密,是引擎內部數據頁級別的加密手段,當數據頁寫入文件系統時加進行加密,從數據文件讀到內存中時解密,基于旋轉秘鑰文件而起作用,對于數據保護非常有用。

如何理解MySQL服務器安全

主秘鑰文件存儲在磁盤上,同時要做好備份,對于加密的表,表空間秘鑰由主秘鑰并存儲在表空間文件的頭部中,使用的加密算法是AES,加密模式是塊加密。

我們來看一下**加密ENCRYPTION='Y'和未加密ENCRYPTION='N'**的區別在哪

如何理解MySQL服務器安全

如何理解MySQL服務器安全

從這里就可以看出,通過Keyring的加密方式,主秘鑰是存儲表空間文件的頭部信息中,這樣增強了數據文件的安全性,對于一些社交軟件產生的聊天消息,可以采用這種方式來加密數據文件,防止數據文件被竊取之后進行恢復。

延遲從庫

如何理解MySQL服務器安全

Oracle數據庫有兩個特性:回收站(recyclebin)和閃回(flashback)功能,drop  table如果不加purge選項,Oracle會把這個表rename一個新的表名存放到回收站里,需要還原時執行flashback table即可。

那如果delete能恢復嗎?

也是可以的,利用flashback query去Undo  Log里獲取刪除時間前的數據,回插到原表即可,這兩個功能是很棒的,可惜MySQL里都沒有。

通常MySQL的主從復制是實時的一致性復制,Master執行的變更會立刻通過binlog復制同步到Slave執行。

如果不想讓Slave那么快的執行Master的變更,可以配置延遲從庫,利用它可以實現數據誤刪的快速恢復,例如延遲一個小時。

如何理解MySQL服務器安全

感謝各位的閱讀,以上就是“如何理解MySQL服務器安全”的內容了,經過本文的學習后,相信大家對如何理解MySQL服務器安全這一問題有了更深刻的體會,具體使用情況還需要大家實踐驗證。這里是億速云,小編將為大家推送更多相關知識點的文章,歡迎關注!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

福海县| 乾安县| 新密市| 开鲁县| 元朗区| 桂平市| 苏尼特左旗| 利川市| 玉田县| 百色市| 巴楚县| 乳山市| 镇巴县| 时尚| 五原县| 冷水江市| 壤塘县| 买车| 佛坪县| 景谷| 安宁市| 万山特区| 清镇市| 东方市| 黔西| 安泽县| 邯郸市| 日土县| 微山县| 宁安市| 吴桥县| 黑水县| 彰武县| 黄山市| 新龙县| 和顺县| 商南县| 龙里县| 定日县| 永城市| 盐源县|