16、数据库加固-mysql 加固

1.修改 DBA 登录密码

shell 下执行:

mysqladmin -u root password

非首次修改:mysqladmin -u root password -p原密码

在 mysql 下执行:

  update user set password=password('密码') where user='root';

  flush privileges;

2.删除默认数据库和用户

删除测试库

show databases;

drop database test;

删除非 root 用户

use mysql;

delete from user where not (user='root');

删除空密码的 root 用户

delete from user where user='root' and password='';

flush privileges;

3.变更 DBA 用户名

use mysql;

update user set user="zhangsan" where user="root";

flush privileges;

4.在账户管理时使用加密算法

添加账户 test,密码进行加密处理

use mysql;

insert into users values(1,password(123.com),"test");(48位的 md5)

5.更改 mysql 启动用户

修改 my.cnf 文件:/etc/my.cnf

加入内容:

[mysqld]
user=mysql

6.限制远程连接数

修改 my.cnf 文件

加入内容:

[mysqld]
max_connections=5
max_user_connections=2

或者限制某个用户,在 mysql 中执行

testdb用户最多两个连接
GRANT test ON *.* TO testdb@localhost MAX_USER_CONNECTIONS 2;

7.关闭远程管理数据库(关闭后,限制远程就没用了)

修改 my.cnf

修改内容:

取消下方语句的注释符
#skip-networking
skip-networking

8.清理 mysql 命令历史

注意清理家目录中的 .mysql_history

ln -s /dev/null /root/.mysql_history

禁止使用明文模式登录 mysql:mysql -u root -p

9.禁止 MySQL 读取本地文件

禁止mysql通过某个文件,把文件内容置入数据库

修改 my.cnf

加入内容:

[mysqld]
local_infile = 0

或者添加启动选项:用脚本开启 mysql(临时生效)

  mysqld_safe --local_infile=0 --user=mysql

10.禁止将表导出到文件

在 mysql 中修改用户的文件权限

  update user set File_priv='N' where user='用户名';

检查配置文件是否存在不合理信息,存在则删掉

  grep secure_file_priv /etc/my.cnf

  secure_file_priv=xxx路径

11.日常备份数据库

手动备份数据库可用防止密码明文存储

mysqldump --user=root --all-databases --flush-privileges --lock-all-tables --master-data=1 --flush-logs --triggers --routines --events --hex-blob > 备份路径/文件名时间戳.sql

还原数据库

mysql -u用户名 -p密码 数据库名 < 备份文件名

 

posted @ 2024-04-13 18:23  落落的学习  阅读(34)  评论(0编辑  收藏  举报