MySQL已經成為當前網絡中使用最多的數據庫之一,特別是在Web應用上,它占據了中小型應用的絕對優勢。這一切都源於它的小巧易用、安全有效、開放式許可和多平台,更主要的是它與三大Web語言之一——PHP的完美結合。
但不幸的是,一個缺省安裝的MySQL,會因為root密碼為空及程序漏洞導致被溢出,使得安裝MySQL的服務器成為被經常攻擊的對象。更嚴重的是,被攻擊之後數據庫往往遭破壞,易造成災難性的後果。下面將進入為了保護數據而進行的保衛戰中。
環境要求
1.系統環境
有一台Red Hat Linux 9.0自定義安裝的服務器,系統安裝了GCC及一些軟件包,比如Apache、PHP等。安裝完系統後的第一件事就是升級系統的軟件包。作為Web服務器,系統接受PHP腳本的請求,PHP則使用下面將要安裝的MySQL數據庫作為動態發布的接觸。
分區情況的要求和一般系統差不多,惟一不同之處在於後面建立的/chroot與/tmp要求在同一個分區上。
2.安全要求
(1)MySQL運行在一個獨立的(Chroot)環境下;
(2)mysqld進程運行於一個獨立的用戶/用戶組下,此用戶和用戶組沒有根目錄,沒有Shell,也不能用於其它程序;
(3)修改MySQL的root賬號,並使用一個復雜的密碼;
(4)只允許本地連接MySQL,啟動MySQL時網絡連接被禁止掉;
(5)保證連接MySQL的nobody賬號登錄被禁止;
(6)刪除test數據庫。
安裝MySQL
1.安裝准備
安裝MySQL之前,按照上述安全要求需要創建一個用於啟動MySQL的用戶和組。
#groupadd mysql
#useradd mysql -c "start mysqlds account" -d /dev/null -g mysql -s /sbin/nologin
2.編譯和安裝
下載MySQL源代碼包:
#wget http://mysql.he.net/Downloads/MySQL-4.0/mysql-4.0.16.tar.gz
解壓縮:
#tar -zxvf mysql-4.0.16.tar.gz
一般把MySQL安裝在/usr/local/mysql下,如果有特殊要求,也可自行調整。不過這樣做意義不大,因為後面將Chrooting,到時只是使用這裡的客戶工具而已,比如mysql,mysqladmin,mysqldump等。下面就開始編譯安裝吧。
#./configure --prefix=/usr/local/mysql \
--with-mysqld-user=mysql \
--with-unix-socket-path=/tmp/mysql.sock \
--with-mysqld-ldflags=-all-static
#make && make install
#strip /usr/local/mysql/libexec/mysqld
#scripts/mysql_install_db
#chown -R root /usr/local/mysql
#chown -R mysql /usr/local/mysql/var
#chgrp -R mysql /usr/local/mysql
上面各步驟的具體作用在MySQL手冊裡已有介紹,惟一需要解釋、和一般步驟不同的地方在於--with-mysqld-ldflags=-all-static。因為需要用到Chroot環境,而MySQL本身連接成靜態後就無需再創建一些庫環境了。
3.配置與啟動
MySQL的配置文件需要手工選擇、拷貝幾個模板文件中的一個到/etc下,這幾個模板文件位於源文件的support-files目錄,一共有4個:small、medium、large、huge。
#cp support-files/my-medium.cnf /etc/my.cnf
#chown root:sys /etc/my.cnf
#chmod 644 /etc/my.cnf
啟動MySQL,注意使用用戶為mysql:
#/usr/local/mysq/bin/mysqld_safe --user=mysql &