本文章從幾個方面介紹如何加強MySQL服務器的安全性。(2004-03-04 20:29:37)
前言
MySQL已經成為當前網絡中使用最多的數據庫之一,特別是在Web應用上,它占據了中小型應用的絕對優勢。這一切都源於它的小巧易用、它的安全有效、它的開放式許可、它的多平台,更主要的是它與三大Web語言之——PHP的完美結合。
但不幸的是,一個缺省安全的MySQL,會因為root密碼為空及程序漏洞導致被溢出,使得安裝MySQL的服務器成為被經常攻擊的對象。更嚴重的是,被攻擊之後數據庫往往遭破壞,造成災難性的後果。下面將進入為了保護數據而進行的保衛戰中。
環境要求
1.系統環境
一台Red Hat 9.0自定義安裝的服務器,系統安裝了GCC及一些其它要求的軟件包,比如apache、PHP等。安裝完系統後的第一件事就是升級系統的軟件包。作為 Web服務器,系統接受PHP腳本的請求,PHP則使用下面將要安裝的MySQL數據庫作為動態發布的接觸。
分區情況的要求和一般系統差不多,惟一不同之處在於後面建立的/chroot與/tmp要求在同一個分區上。
2.安全要求
(1)MySQL運行在一個獨立的(Chroot)環境下;
(2)MySQLd進程運行於一個獨立的用戶/用戶組下,
此用戶和用戶組沒有根目錄,沒有shell,也不能用於其它程序;
(3)修改MySQL的root帳號,並使用一個復雜的密碼;
(4)只允許本地連接MySQL,啟動MySQL時網絡連接被禁止掉;
(5)保證連接MySQL的nobody帳號登陸被禁止;
(6)刪除test數據庫。
安裝MySQL
1.安裝准備
安裝MySQL之前,按照上述安全要求需要創建一個用於啟動MySQL的用戶和組。
#groupadd MySQL
#useradd mysql -c "start mysqld's account" -d /dev/null -g MySQL -s /sbin/nologin
2.編譯和安裝
下載MySQL源代碼包:
#wget http://MySQL.he.Net/Downloads/MySQL-4.0/MySQL-4.0.16.tar.gz
解壓縮:
#tar -zxvf MySQL-4.0.16.tar.gz
一般把MySQL安裝在/usr/local/mysql下,如果有特殊要求,也可自行調整。不過這樣做意義不大,因為後面將Chrooting,到時只是使用這裡的客戶工具而已,比如mysql,mysqladmin,MySQLdump等。下面就開始編譯安裝吧。
#./configure --prefix=/usr/local/MySQL
--with-mysqld-user=MySQL
--with-unix-socket-path=/tmp/MySQL.sock
--with-MySQLd-ldflags=-all-static
#make && make install
#strip /usr/local/mysql/libexec/MySQLd
#scripts/MySQL_install_db
#chown -R root /usr/local/MySQL
#chown -R mysql /usr/local/MySQL/var
#chgrp -R mysql /usr/local/MySQL
上面各步驟的具體作用在MySQL手冊裡已有介紹,惟一需要解釋、和一般步驟不同的地方在於--with-mysqld-ldflags=-all-static。因為需要用到Chroot環境,而MySQL本身連接成靜態後就無需再創建一些庫環境了。