MySQL是最受DBA欢迎的数据库之一，易用性和高机能是MySQL数据库的标记。但是，高人气使得MySQL成为良多歹意小我和组织报复打击的方针。默许安装的MySQL在安然办法方面存在较大年夜隐患，出格是根暗码空白和缓冲区溢出的暗藏缝隙，使其成为最等闲受报复打击的方针。在本文中，我们将介绍一些简单而有效的编制来加强数据库的安然性，以抵抗本地和长途的报复打击。

　　常见安然行动

　　作为DBA，与安然相干的工作该当环绕以下三方面展开：

　　打补丁

　　限制拜候

　　避免有效信息汇集

　　本文残剩部门将会在细节上会商以上三个行动，并将重点放在对收集、把持系统和数据库办事器的限制拜候上。

　　安然补丁

　　虽然每小我城市尽最大年夜尽力往呵护数据，但永久会有人发现可以操纵的缝隙。数据库供给商会查抄引发标题问题标缝隙，并供给响应的缝隙补丁法度。

　　为MySQL寻觅相干安然补丁最好的往处之一便是Oracle的官方网站。你需要常常拜候MySQL论坛，并存眷相干动向。它们凡是是安然警报最早发出的处所。

　　避免对系统的拜候

　　有四项首要的来历是需要寄望的：

　　● 对收集的拜候

　　● 对数据库的直接拜候

　　● 对备份的拜候

　　● 对把持系统的拜候，包含数据和日记文件

　　以上每项都有其本身所面对的挑战和解决路子：

　　对收集的拜候

　　假定你地点的局域网或广域网其实不服安，你需要考虑对办事器和客户端之间的收集连接进行加密。非授权用户可以或许以某种编制获得对特权用户账户(例如root) 的拜候权限么，他们可以操纵近似tcpdump的东西嗅探发往MySQL的收集流并过滤数据包。这些数据包是会包含查询和数据的。

　　默许环境下，MySQL是以最好机能建设的，是以除非对连接进行人工设置，不然所有连接都长短加密的。而凡是是采取SSL和谈对所有在MySQL客户端和办事器之间发送的数据进行加密。

　　MySQL可以基于每个连接进行加密，是以你可以按照各个利用法度的需求来选择利用非加密连接或是安然的加密SSL连接。

　　对数据库的拜候

　　对黑客来讲，首要的暗藏进口点之一就是root账户。是以，对暗码进行重置和对ID重定名是相当首要的。

　　...当你拿到一个默许安装的MySQL时，起首要做的就是为root用户设置暗码。

　　$ mysqladmin -u root password NEWPASSWORD

　　一旦设置了暗码，将”root” 改成其他名字，安然性将会更好。一个黑客比较青睐于在MySQL办事器大将root用户作为方针，既是因为其超等用户身份，也是因为它是已知用户。经由过程改变root用户名，会让黑客进行成功报复打击变得更坚苦。利用以下一系列号令可以重定名“root” 用户：

　　mysql> RENAME USER root TO new_user;

　　除此以外，让超等用户的数量保持在尽对意义上的最小对掌控数据库是很是关头的。而太多的超等账号是存在隐患的，实际上，就关头数据而言，假定你不谨慎就有可能掉往良多东西。

　　有一个账户类型是DBA们所钟爱的，即只读用户。这是最好用的一类账户类型，因为持有它的用户实际上是没法对数据库或其数据造成粉碎的。凡是，用户会编造一些来由来诠释他们为何需要写权限。而肯定一个特定权限是不是有其真正价值的试金石就是在某种程度大将其简单的移除，然后不雅察是不是有人对此埋怨。假定甚么都不产生就最好了。以我的经验，只有很少的用户渴看权限。而余下的用户其实不需要额外的权限。其实，我并不是倡导经由过程封锁用户权限来欺瞒你的客户，我所要阐释的是要对用户的工作模式加以准确的阐发。有些工作可以经由过程简单的质量审计便可以很是等闲的完成。

　　对备份的拜候

　　抱负环境，只要对备份进行离线存储，如许当主站有故障产生时就不会对备份造成影响。别的，所有呵护你数据库办事器收集的步调一样合用于备份系统。有一些优良的软件模型可以对你的数据进行加密，是以，即便是备份文件在不大年夜可能的环境下落进他人之手，其内容对盗窃者而言也是无用的。

　　这里是一个用PHP说话写的加密函数，它操纵的是“rijndael-256”模型：

　　public function encrypt( $msg, $k, $base64 = false ) {

　　if ( ! $td = mcrypt_module_open('rijndael-256', '', 'ctr', '') ) return false;

　　$msg = serialize($msg);

　　$iv = mcrypt_create_iv(32, MCRYPT_RAND);

　　if ( mcrypt_generic_init($td, $k, $iv) !== 0 ) return false;

　　$msg = mcrypt_generic($td, $msg); # encrypt

　　$msg = $iv . $msg; # prepend iv

　　$mac = $this->pbkdf2($msg, $k, 1000, 32); # create mac

　　$msg .= $mac; # append mac

　　mcrypt_generic_deinit($td); # clear buffers

　　mcrypt_module_close($td); # close cipher module

　　if ( $base64 ) $msg = base64_encode($msg);

　　return $msg;

　　}

　　对把持系统的拜候

　　本地把持系统可利用认证，防火墙和其他防病毒软件进行结合防护。其他的拜候节制机制包含用户名暗码策略，受管辖的利用组策略(GPO)，和过滤特定的拜候对象。

　　Oracle对此有很好的在线资本供参考。

　　结论

　　有各类各样呵护MySQL数据的编制，在本文中我们只介绍了一些根本编制。在一场无尽的战役中，要让数据库免受报复打击，一种编制不成能一劳永逸。相反，必需始终保持警戒并包管本身熟谙最新的安然缝隙和响应对策。记住，打造世界上最安然的数据库其实不是你的方针，你只需要让黑客们支出足够的精力才能攻破你的数据库，如许黑客们就会转向更容易报复打击的方针。