一芽淡、MySQL安裝

MySQL可以在redhat環(huán)境下進行RPM安裝和debian下apt安裝挣菲，但是最新的包一般都是源碼的形式白胀，因此這里選擇源碼編譯安裝的方式哪怔。
首先登陸官方網(wǎng)站http://www.mysql.com向抢，下載最新的released版本叉信。

# tar zxf mysql-5.1.22-rc-linux-i686-glibc23.tar.gz
為mysql的運行建立mysql用戶和mysql用戶組
#groupadd mysql
# useradd -g mysql mysql
# ./configure --prefix=/usr/local/mysql
#make
#make install
# cp support-files/my-medium.cnf /etc/my.cf
# bin/mysql_install_db --user=mysql //用mysql生成初始數(shù)據(jù)庫茉盏，出現(xiàn)類似thank for using mysql 證明初始化數(shù)據(jù)庫成功鸠姨。
# chown -R root .  //當前目錄給root
# chown -R mysql var //var給mysql，這個很重要巍糯，也是安全起見
# chgrp -R mysql .
# bin/mysqld_safe --user=mysql &
#bin/mysql –u root

此時安全完畢祟峦，但是最重要是對MySQL進行安全配置针姿，檢查你的系統(tǒng)距淫，最基本要做到以下配置。

二彤枢、MySQL安全配置

數(shù)據(jù)庫作為數(shù)據(jù)管理的平臺，它的安全性首先由系統(tǒng)的內(nèi)部安全和網(wǎng)絡安全兩部分來決定盟猖。對于系統(tǒng)管理員來說，首先要保證系統(tǒng)本身的安全娘汞，在安裝MySQL數(shù)據(jù)庫時，需要對基礎(chǔ)環(huán)境進行較好的配置禽作。

1、修改root用戶口令萍程，刪除空口令

缺省安裝的MySQL的root用戶是空密碼的，為了安全起見朽褪，必須修改為強密碼，所謂的強密碼嗤堰，至少8位，由字母、數(shù)字和符號組成的不規(guī)律密碼输莺。使用MySQL自帶的命令mysaladmin修改root密碼，同時也可以登陸數(shù)據(jù)庫嘱函，修改數(shù)據(jù)庫mysql下的user表的字段內(nèi)容，修改方法如下所示：

# /usr/local/mysql/bin/mysqladmin -u root password “upassword” //使用mysqladmin
#mysql> use mysql;
#mysql> update user set password=password('upassword') where user='root';
#mysql> flush privileges; //強制刷新內(nèi)存授權(quán)表，否則用的還是在內(nèi)存緩沖的口令

2、刪除默認數(shù)據(jù)庫和數(shù)據(jù)庫用戶

一般情況下，MySQL數(shù)據(jù)庫安裝在本地钟沛，并且也只需要本地的php腳本對mysql進行讀取叁扫，所以很多用戶不需要，尤其是默認安裝的用戶。MySQL初始化后會自動生成空用戶和test庫，進行安裝的測試牺汤，這會對數(shù)據(jù)庫的安全構(gòu)成威脅，有必要全部刪除，最后的狀態(tài)只保留單個root即可，當然以后根據(jù)需要增加用戶和數(shù)據(jù)庫每瞒。

#mysql> show databases;
#mysql> drop database test; //刪除數(shù)據(jù)庫test
#use mysql;
#delete from db; //刪除存放數(shù)據(jù)庫的表信息埠褪，因為還沒有數(shù)據(jù)庫信息贷掖。
#mysql> delete from user where not (user='root') ; // 刪除初始非root的用戶
#mysql> delete from user where user='root' and password=''; //刪除空密碼的root苹威，盡量重復操作
Query OK, 2 rows affected (0.00 sec)
#mysql> flush privileges; //強制刷新內(nèi)存授權(quán)表。

3泻轰、改變默認mysql管理員帳號

系統(tǒng)mysql的管理員名稱是root，而一般情況下黄绩，數(shù)據(jù)庫管理員都沒進行修改辛蚊，這一定程度上對系統(tǒng)用戶窮舉的惡意行為提供了便利，此時修改為復雜的用戶名桑谍，請不要在設(shè)定為admin或者administraror的形式，因為它們也在易猜的用戶字典中雹仿。

mysql> update user set user="newroot" where user="root"; //改成不易被猜測的用戶名
mysql> flush privileges;

4增热、關(guān)于密碼的管理

密碼是數(shù)據(jù)庫安全管理的一個很重要因素，不要將純文本密碼保存到數(shù)據(jù)庫中盅粪。如果你的計算機有安全危險钓葫，入侵者可以獲得所有的密碼并使用它們。相反票顾，應使用MD5()础浮、SHA1()或單向哈希函數(shù)帆调。也不要從詞典中選擇密碼，有專門的程序可以破解它們豆同，請選用至少八位番刊，由字母、數(shù)字和符號組成的強密碼影锈。在存取密碼時芹务，使用mysql的內(nèi)置函數(shù)password（）的sql語句，對密碼進行加密后存儲鸭廷。例如以下方式在users表中加入新用戶枣抱。

#mysql> insert into users values (1,password(1234),'test');

5、使用獨立用戶運行msyql

絕對不要作為使用root用戶運行MySQL服務器辆床。這樣做非常危險佳晶，因為任何具有FILE權(quán)限的用戶能夠用root創(chuàng)建文件(例如，~root/.bashrc)讼载。mysqld拒絕使用root運行轿秧，除非使用–user=root選項明顯指定。應該用普通非特權(quán)用戶運行mysqld咨堤。正如前面的安裝過程一樣菇篡，為數(shù)據(jù)庫建立獨立的linux中的mysql賬戶，該賬戶用來只用于管理和運行MySQL一喘。

要想用其它Unix用戶啟動mysqld驱还，，增加user選項指定/etc/my.cnf選項文件或服務器數(shù)據(jù)目錄的my.cnf選項文件中的[mysqld]組的用戶名津滞。

#vim /etc/my.cnf
[mysqld]
user=mysql

該命令使服務器用指定的用戶來啟動铝侵，無論你手動啟動或通過mysqld_safe或mysql.server啟動，都能確保使用mysql的身份触徐。也可以在啟動數(shù)據(jù)庫是咪鲜，加上user參數(shù)。

# /usr/local/mysql/bin/mysqld_safe --user=mysql &

作為其它linux用戶而不用root運行mysqld撞鹉，你不需要更改user表中的root用戶名疟丙，因為MySQL賬戶的用戶名與linux賬戶的用戶名無關(guān)。確保mysqld運行時鸟雏，只使用對數(shù)據(jù)庫目錄具有讀或?qū)憴?quán)限的linux用戶來運行享郊。

6、禁止遠程連接數(shù)據(jù)庫

在命令行netstat -ant下看到孝鹊，默認的3306端口是打開的炊琉，此時打開了mysqld的網(wǎng)絡監(jiān)聽，允許用戶遠程通過帳號密碼連接數(shù)本地據(jù)庫，默認情況是允許遠程連接數(shù)據(jù)的苔咪。為了禁止該功能锰悼，啟動skip-networking，不監(jiān)聽sql的任何TCP/IP的連接团赏，切斷遠程訪問的權(quán)利箕般，保證安全性。假如需要遠程管理數(shù)據(jù)庫舔清，可通過安裝PhpMyadmin來實現(xiàn)丝里。假如確實需要遠程連接數(shù)據(jù)庫，至少修改默認的監(jiān)聽端口体谒，同時添加防火墻規(guī)則杯聚，只允許可信任的網(wǎng)絡的mysql監(jiān)聽端口的數(shù)據(jù)通過。

# vim /etc/my.cf
將#skip-networking注釋去掉抒痒。
# /usr/local/mysql/bin/mysqladmin -u root -p shutdown //停止數(shù)據(jù)庫
#/usr/local/mysql/bin/mysqld_safe --user=mysql & //后臺用mysql用戶啟動mysql

7械媒、限制連接用戶的數(shù)量

數(shù)據(jù)庫的某用戶多次遠程連接，會導致性能的下降和影響其他用戶的操作评汰，有必要對其進行限制×『纾可以通過限制單個賬戶允許的連接數(shù)量來實現(xiàn)被去，設(shè)置my.cnf文件的mysqld中的max_user_connections變量來完成。GRANT語句也可以支持 資源控制選項來限制服務器對一個賬戶允許的使用范圍奖唯。

#vim /etc/my.cnf
[mysqld]
max_user_connections 2

8惨缆、用戶目錄權(quán)限限制

默認的mysql是安裝在/usr/local/mysql，而對應的數(shù)據(jù)庫文件在/usr/local/mysql/var目錄下丰捷，因此坯墨，必須保證該目錄不能讓未經(jīng)授權(quán)的用戶訪問后把數(shù)據(jù)庫打包拷貝走了，所以要限制對該目錄的訪問病往。確保mysqld運行時捣染，只使用對數(shù)據(jù)庫目錄具有讀或?qū)憴?quán)限的linux用戶來運行。

# chown -R root  /usr/local/mysql/  //mysql主目錄給root
# chown -R mysql.mysql /usr/local/mysql/var //確保數(shù)據(jù)庫目錄權(quán)限所屬mysql用戶

9停巷、命令歷史記錄保護

數(shù)據(jù)庫相關(guān)的shell操作命令都會分別記錄在.bash_history耍攘，如果這些文件不慎被讀取，會導致數(shù)據(jù)庫密碼和數(shù)據(jù)庫結(jié)構(gòu)等信息泄露畔勤，而登陸數(shù)據(jù)庫后的操作將記錄在.mysql_history文件中蕾各，如果使用update表信息來修改數(shù)據(jù)庫用戶密碼的話，也會被讀取密碼庆揪，因此需要刪除這兩個文件式曲，同時在進行登陸或備份數(shù)據(jù)庫等與密碼相關(guān)操作時，應該使用-p參數(shù)加入提示輸入密碼后缸榛，隱式輸入密碼吝羞，建議將以上文件置空兰伤。

# rm .bash_history .mysql_history  //刪除歷史記錄
# ln -s /dev/null .bash_history   //將shell記錄文件置空
# ln -s /dev/null .mysql_history  //將mysql記錄文件置空

10、禁止MySQL對本地文件存取

在mysql中脆贵，提供對本地文件的讀取医清，使用的是load data local infile命令，默認在5.0版本中卖氨，該選項是默認打開的会烙，該操作令會利用MySQL把本地文件讀到數(shù)據(jù)庫中，然后用戶就可以非法獲取敏感信息了筒捺，假如你不需要讀取本地文件柏腻，請務必關(guān)閉。

測試：首先在測試數(shù)據(jù)庫下建立sqlfile.txt文件系吭，用逗號隔開各個字段

# vi sqlfile.txt
1,sszng,111
2,sman,222
#mysql> load data local infile 'sqlfile.txt' into table users fields terminated by ','; //讀入數(shù)據(jù)
#mysql> select * from users;
+--------+------------+----------+
| userid  | username   | password |
+--------+------------+----------+
|      1 | sszng    | 111   |
|      2 | sman    | 222  |
+--------+------------+----------+

成功的將本地數(shù)據(jù)插入數(shù)據(jù)中五嫂，此時應該禁止MySQL中用“LOAD DATA LOCAL INFILE”命令。網(wǎng)絡上流傳的一些攻擊方法中就有用它LOAD DATA LOCAL INFILE的肯尺，同時它也是很多新發(fā)現(xiàn)的SQL Injection攻擊利用的手段沃缘！黑客還能通過使用LOAD DATALOCAL INFILE裝載“/etc/passwd”進一個數(shù)據(jù)庫表，然后能用SELECT顯示它则吟，這個操作對服務器的安全來說槐臀，是致命的∶ブ伲可以在my.cnf中添加local-infile=0水慨，或者加參數(shù)local-infile=0啟動mysql。

#/usr/local/mysql/bin/mysqld_safe --user=mysql --local-infile=0 &
#mysql> load data local infile 'sqlfile.txt' into table users fields terminated by ',';
#ERROR 1148 (42000): The used command is not allowed with this MySQL version

--local-infile=0選項啟動mysqld從服務器端禁用所有LOAD DATA LOCAL命令敬扛，假如需要獲取本地文件晰洒，需要打開，但是建議關(guān)閉啥箭。

11谍珊、MySQL服務器權(quán)限控制

MySQL權(quán)限系統(tǒng)的主要功能是證實連接到一臺給定主機的用戶，并且賦予該用戶在數(shù)據(jù)庫上的SELECT捉蚤、INSERT抬驴、UPDATE和DELETE等權(quán)限（詳見user超級用戶表）。它的附加的功能包括有匿名的用戶并對于MySQL特定的功能例如LOAD DATA INFILE進行授權(quán)及管理操作的能力缆巧。

管理員可以對user布持，db，host等表進行配置陕悬，來控制用戶的訪問權(quán)限题暖，而user表權(quán)限是超級用戶權(quán)限。只把user表的權(quán)限授予超級用戶如服務器或數(shù)據(jù)庫主管是明智的。對其他用戶胧卤，你應該把在user表中的權(quán)限設(shè)成’N’并且僅在特定數(shù)據(jù)庫的基礎(chǔ)上授權(quán)唯绍。你可以為特定的數(shù)據(jù)庫、表或列授權(quán)枝誊，F(xiàn)ILE權(quán)限給予你用LOAD DATA INFILE和SELECT … INTO OUTFILE語句讀和寫服務器上的文件况芒，任何被授予FILE權(quán)限的用戶都能讀或?qū)慚ySQL服務器能讀或?qū)懙娜魏挝募?說明用戶可以讀任何數(shù)據(jù)庫目錄下的文件，因為服務器可以訪問這些文件）叶撒。 FILE權(quán)限允許用戶在MySQL服務器具有寫權(quán)限的目錄下創(chuàng)建新文件绝骚，但不能覆蓋已有文件在user表的File_priv設(shè)置Y或N。祠够，所以當你不需要對服務器文件讀取時压汪，請關(guān)閉該權(quán)限。

#mysql> load data infile 'sqlfile.txt' into table loadfile.users fields terminated by ',';
Query OK, 4 rows affected (0.00 sec) //讀取本地信息sqlfile.txt'
Records: 4  Deleted: 0  Skipped: 0  Warnings: 0
#mysql> update user set File_priv='N' where user='root'; //禁止讀取權(quán)限
Query OK, 1 row affected (0.00 sec)
Rows matched: 1  Changed: 1  Warnings: 0
mysql> flush privileges; //刷新授權(quán)表
Query OK, 0 rows affected (0.00 sec)
#mysql> load data infile 'sqlfile.txt' into table users fields terminated by ','; //重登陸讀取文件
#ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES) //失敗
# mysql> select * from loadfile.users into outfile 'test.txt' fields terminated by ',';
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)

為了安全起見古瓤，隨時使用SHOW GRANTS語句檢查查看誰已經(jīng)訪問了什么止剖。然后使用REVOKE語句刪除不再需要的權(quán)限。

12落君、使用chroot方式來控制MySQL的運行目錄

Chroot是linux中的一種系統(tǒng)高級保護手段穿香，它的建立會將其與主系統(tǒng)幾乎完全隔離，也就是說绎速，一旦遭到什么問題扔水，也不會危及到正在運行的主系統(tǒng)。這是一個非常有效的辦法朝氓，特別是在配置網(wǎng)絡服務程序的時候。

13主届、關(guān)閉對Web訪問的支持

如果不打算讓Web訪問使用MySQL數(shù)據(jù)庫赵哲，沒有提供諸如PHP這樣的Web語言的時候，重新設(shè)置或編譯你的PHP君丁，取消它們對MySQL的默認支持枫夺。假如服務器中使用php等web程序，試試用Web形式非法的請求绘闷，如果得到任何形式的MySQL錯誤橡庞，立即分析原因，及時修改Web程序印蔗，堵住漏洞扒最，防止MySQL暴露在web面前。
對于Web的安全檢查华嘹，在MySQL官方文檔中這么建議吧趣，對于web應用，至少檢查以下清單：
試試用Web形式輸入單引號和雙引號(‘’’和‘”’)。如果得到任何形式的MySQL錯誤强挫，立即分析原因岔霸。
試試修改動態(tài)URL，可以在其中添加%22(‘”’)俯渤、%23(‘#’)和%27(‘’’)呆细。
試試在動態(tài)URL中修改數(shù)據(jù)類型，使用前面示例中的字符八匠，包括數(shù)字和字符類型絮爷。你的應用程序應足夠安全，可以防范此類修改和類似攻擊臀叙。
試試輸入字符略水、空格和特殊符號，不要輸入數(shù)值字段的數(shù)字劝萤。你的應用程序應在將它們傳遞到MySQL之前將它們刪除或生成錯誤渊涝。將未經(jīng)過檢查的值傳遞給MySQL是很危險的！
將數(shù)據(jù)傳給MySQL之前先檢查其大小床嫌。
用管理賬戶之外的用戶名將應用程序連接到數(shù)據(jù)庫跨释。不要給應用程序任何不需要的訪問權(quán)限。

14厌处、數(shù)據(jù)庫備份策略

一般可采用本地備份和網(wǎng)絡備份的形式鳖谈，可采用MySQL本身自帶的mysqldump的方式和直接復制備份形式，

直接拷貝數(shù)據(jù)文件最為直接阔涉、快速缆娃、方便，但缺點是基本上不能實現(xiàn)增量備份瑰排。為了保證數(shù)據(jù)的一致性贯要，需要在備份文件前，執(zhí)行以下 SQL 語句：FLUSH TABLES WITH READ LOCK椭住；也就是把內(nèi)存中的數(shù)據(jù)都刷新到磁盤中崇渗，同時鎖定數(shù)據(jù)表，以保證拷貝過程中不會有新的數(shù)據(jù)寫入京郑。這種方法備份出來的數(shù)據(jù)恢復也很簡單宅广，直接拷貝回原來的數(shù)據(jù)庫目錄下即可。

使用mysqldump可以把整個數(shù)據(jù)庫裝載到一個單獨的文本文件中些举。這個文件包含有所有重建您的數(shù)據(jù)庫所需要的SQL命令跟狱。這個命令取得所有的模式（Schema，后面有解釋）并且將其轉(zhuǎn)換成DDL語法（CREATE語句户魏，即數(shù)據(jù)庫定義語句）兽肤，取得所有的數(shù)據(jù)套腹，并且從這些數(shù)據(jù)中創(chuàng)建INSERT語句。這個工具將您的數(shù)據(jù)庫中所有的設(shè)計倒轉(zhuǎn)资铡。因為所有的東西都被包含到了一個文本文件中电禀。這個文本文件可以用一個簡單的批處理和一個合適SQL語句導回到MySQL中。

使用 mysqldump進行備份非常簡單笤休，如果要備份數(shù)據(jù)庫” nagios_db_backup ”尖飞，使用命令，同時使用管道gzip命令對備份文件進行壓縮店雅，建議使用異地備份的形式政基，可以采用Rsync等方式，將備份服務器的目錄掛載到數(shù)據(jù)庫服務器闹啦，將數(shù)據(jù)庫文件備份打包在沮明，通過crontab定時備份數(shù)據(jù)：

#!/bin/sh
time=`date +"("%F")"%R`
$/usr/local/mysql/bin/mysqldump -u nagios -pnagios nagios | gzip >/home/sszheng/nfs58/nagiosbackup/nagios_backup.$time.gz
# crontab -l
# m h  dom mon dow   command
00 00 * * * /home/sszheng/shnagios/backup.sh

恢復數(shù)據(jù)使用命令：

gzip -d nagios_backup.\(2008-01-24\)00\:00.gz
nagios_backup.(2008-01-24)00:00
#mysql –u root -p nagios       <  /home/sszheng/nfs58/nagiosbackup/nagios_backup.\(2008-01-24\)12\:00

三、Mysqld安全相關(guān)啟動選項

下列mysqld選項影響安全：

   --allow-suspicious-udfs
該選項控制是否可以載入主函數(shù)只有xxx符的用戶定義函數(shù)窍奋。默認情況下荐健，該選項被關(guān)閉，并且只能載入至少有輔助符的UDF琳袄。這樣可以防止從未包含合法UDF的共享對象文件載入函數(shù)江场。
    --local-infile[={0|1}]
如果用–local-infile=0啟動服務器，則客戶端不能使用LOCAL in LOAD DATA語句窖逗。
    --old-passwords
強制服務器為新密碼生成短(pre-4.1)密碼哈希址否。當服務器必須支持舊版本客戶端程序時，為了保證兼容性這很有用碎紊。
     (OBSOLETE) --safe-show-database
在以前版本的MySQL中佑附，該選項使SHOW DATABASES語句只顯示用戶具有部分權(quán)限的數(shù)據(jù)庫名。在MySQL 5.1中仗考，該選項不再作為現(xiàn)在的 默認行為使用帮匾，有一個SHOW DATABASES權(quán)限可以用來控制每個賬戶對數(shù)據(jù)庫名的訪問。
    --safe-user-create
如果啟用痴鳄，用戶不能用GRANT語句創(chuàng)建新用戶，除非用戶有mysql.user表的INSERT權(quán)限缸夹。如果你想讓用戶具有授權(quán)權(quán)限來創(chuàng)建新用戶痪寻，你應給用戶授予下面的權(quán)限：
mysql> GRANT INSERT(user) ON mysql.user TO ‘user_name’@’host_name’;
這樣確保用戶不能直接更改權(quán)限列，必須使用GRANT語句給其它用戶授予該權(quán)限虽惭。
    --secure-auth
不允許鑒定有舊(pre-4.1)密碼的賬戶橡类。
    --skip-grant-tables
這個選項導致服務器根本不使用權(quán)限系統(tǒng)。這給每個人以完全訪問所有的數(shù)據(jù)庫的權(quán)力Ｑ看健（通過執(zhí)行mysqladmin flush-privileges或mysqladmin eload命令顾画，或執(zhí)行FLUSH PRIVILEGES語句取劫，你能告訴一個正在運行的服務器再次開始使用授權(quán)表。）
    --skip-name-resolve
主機名不被解析研侣。所有在授權(quán)表的Host的列值必須是IP號或localhost谱邪。
    --skip-networking
在網(wǎng)絡上不允許TCP/IP連接。所有到mysqld的連接必須經(jīng)由Unix套接字進行庶诡。
    --skip-show-database
使用該選項惦银，只允許有SHOW DATABASES權(quán)限的用戶執(zhí)行SHOW DATABASES語句，該語句顯示所有數(shù)據(jù)庫名末誓。不使用該選項扯俱，允許所有用戶執(zhí)行SHOW DATABASES，但只顯示用戶有SHOW DATABASES權(quán)限或部分數(shù)據(jù)庫權(quán)限的數(shù)據(jù)庫名喇澡。請注意全局權(quán)限指數(shù)據(jù)庫的權(quán)限迅栅。

原文出處