如何在 Linux VPS 上保护 MySQL 和 MariaDB 数据库

前些天发现了一个巨牛的人工智能学习网站，通俗易懂，风趣幽默，忍不住分享一下给大家。点击跳转到网站。

简介

有许多在 Linux 和类 Unix 系统上可用的 SQL 数据库语言实现。MySQL 和 MariaDB 是在服务器环境中部署关系型数据库的两个流行选项。

然而，像大多数软件一样，如果配置不正确，这些工具可能成为安全隐患。本教程将指导您完成一些基本步骤，以确保您的 MariaDB 或 MySQL 数据库安全，并确保它们不会成为您的 VPS 的后门。

为了简单和说明的目的，我们将在 Ubuntu 12.04 VPS 实例上使用 MySQL 服务器。然而，这些技术也适用于其他 Linux 发行版，并且也可以用于 MariaDB。

初始设置

在安装过程中，MySQL 会要求您设置 root 密码。

sudo apt-get install mysql-server

您随时可以在以后设置 root 密码，但没有理由跳过此步骤，因此您应该从一开始就保护好管理员帐户。

安装完成后，我们应该运行一些包含的脚本。首先，我们将使用 “mysql_install_db” 脚本为我们的数据库创建一个目录布局。

sudo mysql_install_db

接下来，运行名为 “mysql_secure_installation” 的脚本。这将引导我们完成一些程序，以删除一些在生产环境中使用的危险默认设置。

sudo mysql_secure_installation

安全注意事项

保护 MySQL（以及几乎任何其他系统）的总体主题是只有在绝对必要时才授予访问权限。您的数据安全有时取决于方便和安全之间的平衡。

在本指南中，我们将倾向于安全一侧，尽管您对数据库软件的具体使用可能会导致您从这些选项中进行选择。

通过 My.cnf 文件实现安全

MySQL 的主要配置文件是一个名为 “my.cnf” 的文件，它位于 Ubuntu 的 “/etc/mysql/” 目录和其他一些 VPS 的 “/etc/” 目录中。

我们将更改此文件中的一些设置以锁定我们的 MySQL 实例。

以 root 权限打开文件。如果您在不同的系统上按照本教程操作，请根据需要更改目录路径：

sudo nano /etc/mysql/my.cnf

我们应该检查的第一个设置是 “[mysqld]” 部分中的 “bind-address” 设置。此设置应设置为您的本地回环网络设备，即 “127.0.0.1”。

bind-address = 127.0.0.1

这确保了 MySQL 除了本地机器外不接受任何连接。

如果您需要从另一台机器访问此数据库，请考虑通过 SSH 进行连接，以在本地进行数据库查询和管理，并通过 ssh 隧道发送结果。

我们将要修补的下一个漏洞是允许从 MySQL 中访问底层文件系统的功能。这可能会带来严重的安全问题，除非绝对需要，否则应该关闭。

在文件的相同部分，我们将添加一个指令来禁用此功能以加载本地文件：

local-infile=0

这将禁止没有文件级别权限的用户从文件系统加载文件。

如果我们有足够的空间，并且不是在操作大型数据库，记录额外信息可以帮助我们监视可疑活动。

记录太多可能会导致性能下降，因此这是您需要仔细权衡的事情。

您可以在我们一直在添加的同一个 “[mysqld]” 部分内设置日志变量。

log=/var/log/mysql-logfile

确保 MySQL 日志、错误日志和 mysql 日志目录不是全局可读的：

sudo ls -l /var/log/mysql*

从内部保护 MySQL

在使用 MySQL 时，有许多步骤可以提高安全性。

我们将在本节中将命令输入到 MySQL 提示界面中，因此我们需要登录。

mysql -u root -p

您将被要求输入您之前设置的 root 密码。

保护密码和主机关联

首先，确保 MySQL 中没有没有密码或主机关联的用户：

SELECT User,Host,Password FROM mysql.user;

如您所见，在我们的示例设置中，用户 “demo-user” 没有密码，并且无论他在哪个主机上都是有效的。这是非常不安全的。

我们可以使用以下命令为用户设置密码。将 “newPassWord” 更改为您希望分配的密码。

UPDATE mysql.user SET Password=PASSWORD('<span class="highlight">newPassWord</span>') WHERE User="<span class="highlight">demo-user</span>";

如果我们再次检查用户表，我们将看到演示用户现在有了密码：

SELECT User,Host,Password FROM mysql.user;

如果我们的表中包含任何空白用户（在这一点上不应该有，因为我们运行了 “mysql_secure_installation”，但我们仍将介绍这一点），我们应该将它们删除。

要做到这一点，我们可以使用以下调用从访问表中删除空白用户：

DELETE FROM mysql.user WHERE User="";

在修改用户表后，我们需要输入以下命令以实施新的权限：

FLUSH PRIVILEGES;

实施特定于应用程序的用户

与在 Linux 中作为独立用户运行进程的做法类似，MySQL 也受益于相同类型的隔离。

使用 MySQL 的每个应用程序应该有自己的用户，该用户只具有有限的权限，并且只能访问它需要运行的数据库。

当我们配置新应用程序使用 MySQL 时，我们应该创建该应用程序所需的数据库：

create database <span class="highlight">testDB</span>;

接下来，我们应该创建一个用户来管理该数据库，并仅分配它所需的权限。这将根据应用程序而异，有些用途需要比其他用途更开放的权限。

要创建新用户，请使用以下命令：

CREATE USER '<span class="highlight">demo-user</span>'@'localhost' IDENTIFIED BY '<span class="highlight">password</span>';

我们可以使用以下命令为新表授予新用户权限。有关特定权限的更多信息，请参阅 如何在 MySQL 中创建新用户并授予权限 教程：

GRANT <span class="highlight">SELECT,UPDATE,DELETE</span> ON <span class="highlight">testDB</span>.* TO '<span class="highlight">demo-user</span>'@'localhost';

例如，如果以后需要从帐户中撤销更新权限，可以使用以下命令：

REVOKE <span class="highlight">UPDATE</span> ON <span class="highlight">testDB</span>.* FROM '<span class="highlight">demo-user</span>'@'localhost';

如果我们需要在某个数据库上拥有所有权限，我们可以使用以下命令指定：

GRANT ALL ON <span class="highlight">testDB</span>.* TO '<span class="highlight">demo-user</span>'@'localhost';

要显示用户的当前权限，我们首先必须使用 “flush privileges” 命令实施我们指定的权限。然后，我们可以查询用户拥有的授权：

FLUSH PRIVILEGES;
show grants for '<span class="highlight">demo-user</span>'@'localhost';

完成更改后，始终刷新权限。

更改根用户

您可能想要采取的另一个步骤是更改根登录名。如果攻击者试图访问根 MySQL 登录，他们将需要执行找到用户名的额外步骤。

可以使用以下命令更改根登录名：

rename user 'root'@'localhost' to '<span class="highlight">newAdminUser</span>'@'localhost';

我们可以使用与我们一直在使用的用于用户数据库的相同查询来查看更改：

select user,host,password from mysql.user;

同样，我们必须刷新权限以使这些更改生效：

FLUSH PRIVILEGES;

请记住，从现在开始，当您希望执行管理任务时，您将需要以新创建的用户名登录到 MySQL：

mysql -u <span class="highlight">newAdminUser</span> -p

结论

尽管这绝不是 MySQL 和 MariaDB 安全实践的详尽清单，但它应该为您提供了一个很好的介绍，让您了解在保护数据库时需要做出的决策类型。

有关配置和安全性的更多信息可以在 MySQL 和 MariaDB 网站以及它们各自的 man 页面中找到。您选择使用的应用程序也可能提供安全建议。