如何保护MySQL 中的重要数据

      在日常的工作中， 掩护数据免受未授权消费者的 进犯是系统治理员特殊关怀的问题 。假如你当前用的是MySQL，就 可以 使用一些容易的 性能来 掩护系统，来大大削减 机密数据被未授权消费者 拜访的风险 。

　　企业最有价格的资产通常是其数据库中的客户或产品信息 。 因此，在这些企业中，数据库治理的一个主要 部分便是 掩护这些数据免受外部 突击，及修复软/硬件故障 。

　　在大多数状况下，软硬件故障通过数据备份机制来 解决 。多数数据库都自带有内置的工具自动 实现整个过程，所以这方面的工作 绝对轻松，也不会出错 。但麻烦却来自另一面：阻挠外来黑客入侵窃取或 毁坏数据库中的信息 。 可怜的是，一般没有自动工具解决这一问题；并且，这需求治理员手工设置 妨碍来阻挠黑客，确保公司数据的安全 。

　　不对数据库进行 掩护的常见缘由是由于这一工作“麻烦”而“复杂” 。这 确切是事实，但假如你 利用MySQL，就 可以 使用一些容易的 性能来卓著削减面临的风险 。下面列出了以下几个 性能：

　　◆删除授权表中的通配符

　　MySQL 拜访操纵系统通过一系列所谓的授权表运行，从而对数据库、表格或栏目级别的消费者 拜访 权力进行定义 。但这些表格同意治理员为一名消费者设定一揽子许可，或一组 利用通配符的表格 。这样做会有潜在的惊险，由于黑客可能会利用一个受限的账户来 拜访系统的 其余 部分 。由于这一缘由，在设置消费者特权时要慎重，始终 保障消费者不得不 拜访他们所需的内容 。在给个别消费者设定超级特权时要尤其小心，由于这种级别同意一般消费者 批改服务器的 根本配置，并 拜访整个数据库 。

　　 提议：对每个消费者账户 利用显示特权命令，以审查授权表，了解 利用通配符许可是不是 适当 。

　　◆要求 使用安全密码

　　消费者账号的安全与用来 掩护它们的密码紧密 有关 。 因此，在安装MySQL时第一件事就应该设置MySQL根账号的密码(默许为空) 。修复这一 漏洞后，接下来就应要求每个消费者账号 使用一个密码，且不要 使用生日、消费者名或字典中的单词这些容易 鉴别的启示式密码 。

　　 提议： 利用MySQL-安全-授权选项幸免 使用旧的，不大安全的MySQL密码 格局 。

　　◆ 审查配置文件许可

　　一般来说，要使服务器衔接更为 快捷容易，单个消费者和服务器治理员必须把他们的消费者账号密码存储在单消费者MySQL选项文件中 。然而，这种密码是以纯文本 模式存储在文件中的，很容易就 可以查阅 。 因此，必须 保障这样的单消费者配置文件不被系统中的 其余消费者查阅，且将它存储在非公共的位置 。 事实状况下，你 盼望单消费者配置文件 保留在消费者的根目录，许可为0600 。

　　◆加密客户与服务器中间数据 传递 :

　　MySQL(及其它)客户与服务器构架的一个主要问题便是通过网络 传递数据时的安全问题 。假如客户与服务器间的交互以纯文本 模式 产生，黑客就可能“嗅出”被 传递的数据包，从而 获得 机密信息 。你 可以通过激活MySQL配置中的SSL，或 利用一个OpenSSH这样的安全 利用来为 传递的数据 构建一个安全的加密“通道”，以关闭这一 漏洞 。以这种 模式加密客户与服务器衔接可使未授权消费者极难查阅往来的数据 。

　　◆禁止远程 拜访

　　假如消费者不需求远程 拜访服务器，你 可以迫使全部MySQL衔接通过UNIX插槽文件来 实现，从而大大削减网络受 突击的风险 。这一过程可通过跳过网络选项启动服务器来 实现 。这样 可以阻挠TCP/IP网络衔接到MySQL上， 保障没有消费者 可以远程衔接系统 。

　　 提议： 可以在MySQL服务器配置中增加捆绑地址127.0.0.1指令来 加强这一 性能，迫使MySQL捆绑本地机器的IP地址来 保障惟独同一系统中的消费者 可以衔接到MySQL 。

　　◆ 踊跃监控MySQL 拜访记录

　　MySQL中带有众多不同的日志文件，它们记录客户衔接， 查问和服务器 舛误 。其中，最主要的是一般 查问日志，它用 工夫标签记录每名客户的衔接和中断 工夫，并记录客户执行的每个 查问 。假如你 嫌疑 产生了不平常的行为，如网络入侵，那么监控这个日志以了解行为的 起源是个好 步骤 。

　　 掩护你的MySQL数据库是一个日常工作 。 因此， 即便 实现了上述步骤，也还需求你利用更多的 工夫去了解更多的安全 提议， 踊跃监控并更新你的系统安全 。