51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

如何安全应对MySQL攻击

作者:佚名
安全 数据安全
该文章讲述了SQL管理员通过指定客户端程序的用户名等多种方式安全应对MySQL攻击

面对MySQL的攻击,管理员应当尽可能的保证服务器的安全。下面的文章将向您介绍如何在面对MySQL攻击时保证安全。

当你连接到MySQL服务器时,你应使用一个密码。密码不以明文在上传输。客户端连接序列中的密码处理在MySQL 4.1.1中已经升级,很安全。如果你仍然使用pre-4.1.1-风格的密码,加密算法不如新算法强;通过一些工作,可以窃取客户端和服务器之间的通信的聪明的攻击者可以破解密码。如果客户端和服务器之间的连接通过不可信任网络,你应使用SSH隧道来加密通信。

有其它信息以文本传送,可以被可以看到连接的任何人读取。如果你担心这个,你可以使用压缩协议来使通信更难以解密。要想使连接更加安全,你应使用SSH来获得加密的MySQL服务器和MySQL客户端之间的TCP/IP连接。(注释:你还可以使用MySQL内部OpenSSL支持。)

为了使MySQL系统安全,强烈要求你考虑下列建议:

◆对所有MySQL用户使用密码。客户端程序不需要知道运行它的人员的身份。对于客户端/服务器应用程序,用户可以指定客户端程序的用户名。例如,如果other_user没有密码,任何人可以简单地用mysql -u other_user db_name冒充他人调用mysql程序进行连接,进行MySQL攻击。如果所有用户有密码,使用其它用户的账户进行连接要困难得多。

要想更改用户的密码,应使用SET PASSWORD语句。还可以直接更新mysql数据库中的user表。例如,要更改所有root用户的MySQL账户的密码。

以下为引用的内容:
shell> mysql -u root
mysql> UPDATE mysql.user SET Password=PASSWORD('newpwd')
  -> WHERE User='root';
mysql> FLUSH PRIVILEGES;

绝对不要作为Unix的root用户运行MySQL服务器。这样做非常危险,因为任何具有FILE权限的用户能够用root创建文件(例如,~root/.bashrc)。为了防止,mysqld拒绝用root运行,除非使用--user=root选项明显指定。

应可以(并且应该)用普通非特权用户运行mysqld。你可以创建独立的Unix中的mysql账户来以便使所有内容更加安全。该账户只用于管理MySQL。要想用其它Unix用户启动mysqld,增加user选项指定/etc/my.cnf选项文件或服务器数据目录的my.cnf选项文件中的[mysqld]组的用户名。例如:

以下为引用的内容:
[mysqld]
user=mysql

该命令使服务器用指定的用户来启动,无论你手动启动或通过mysqld_safe或mysql.server启动。

作为其它Unix用户而不用root运行mysqld,你不需要更改user表中的root用户名,因为MySQL账户的用户名与Unix账户的用户名无关。

◆不要允许使用表的符号链接。(可以用--skip-symbolic-links选项禁用)。如果你用root运行mysqld则特别重要,因为任何对服务器的数据目录有写访问权限的人则能够删除系统中的任何文件!

◆确保mysqld运行时,只使用对数据库目录具有读或写权限的Unix用户来运行。

◆不要将PROCESS或SUPER权限授给非管理用户。mysqladmin processlist的输出显示出当前执行的查询正文,如果另外的用户发出一个UPDATE user SET password=PASSWORD('not_secure')查询,被允许执行那个命令的任何用户可能看得到。

mysqld为有SUPER权限的用户专门保留一个额外的连接,因此即使所有普通连接被占用,MySQL root用户仍可以登录并检查服务器的活动。

可以使用SUPER权限来终止客户端连接,通过更改系统变量的值更改服务的器操作,并控制复制服务器,防止MySQL攻击的发生。

◆不要向非管理用户授予FILE权限。有这权限的任何用户能在拥有mysqld守护进程权限的文件系统那里写一个文件!为了更加安全,由SELECT ... INTO OUTFILE生成的所有文件对每个人是可写的,并且你不能覆盖已经存在的文件。

file权限也可以被用来读取任何作为运行服务器的Unix用户可读取或访问的文件。使用该权限,你可以将任何文件读入数据库表。这可能被滥用,例如,通过使用LOAD DATA装载“/etc/passwd”进一个数据库表,然后能用SELECT显示它。

◆如果你不信任你的DNS,你应该在授权表中使用IP数字而不是主机名。在任何情况下,你应该非常小心地使用包含通配符的主机名来创建授权表条目,以防MySQL攻击!

◆如果你想要限制单个账户允许的连接数量,你可以设置mysqld中的max_user_connections变量来完成。GRANT语句也可以支持资源控制选项来限制服务器对一个账户允许的使用范围。
 

【编辑推荐】

  1. 数据库应用安全:如何平衡加密与访问控制
  2. MySQL安全攻防实战指南之体系结构篇
  3. MySQL数据库灾备的基础知识大全
  4. 甲骨文数据库发现漏洞 黑客能远程访问信息
  5. SafeNet发布SQL Server 2008 R2最新解决方案
责任编辑:张启峰 来源: ddvip.com
MySQL攻击
相关推荐
如何应对网络攻击
当今网络攻击手段和安全漏洞在不断加强和更新,随之网络也变得非常脆弱,对于大多数企业来说,或许网络攻击遥不可及,但是明天和意外,你不知道哪个会先到来。网络攻击泛滥,该如何有效加强防范

2021-09-07 12:17:58

网络攻击漏洞网络安全
国家安全时代,如何应对未知漏洞攻击
安全(查杀)引擎与恶意攻击的攻防拉锯战,从单机时代的恶意软件加壳vs.静态黑特征匹配,发展到了互联网时代基于漏洞的利用vs.基于行为黑、白特征的混用。如今,则是在国家安全这一大背景下的新型攻防对抗。

2020-01-20 14:20:43

WindowsWindows Ser国家安全
如何应对DDoS攻击勒索
PatrickLambert通过几种方法教给大家如何在黑客的DDoS攻击勒索下保护自己的网站。

2013-02-18 09:32:28

CIO如何应对网络攻击
如果人们像大多数企业的首席信息官(CIO)一样,在处理网络威胁方面可能会有一种无法确定和没有防备的感觉,那么实际上有这样的感觉是对的。

2017-11-27 14:50:32

教你如何应对(DDoS)攻击
在铺天盖地的拒绝服务类攻击面前,保证自身完全安全并非易事,但我们可以尽量减轻其危害。在下面的文章中,我将与大家分享一些具体的防范措施。

2011-08-02 10:39:57

浅谈企业如何应对Sniffer攻击
Sniffer攻击最大的危险性就是它很难被发现,在单机情况下发现一个Sniffer攻击还是比较容易的,可以通过查看计算机上当前正在运行的所有程序来实现,当然这不一定可靠。

2010-09-17 10:35:10

如何准备和应对目标攻击
公司需要做好准备,以实施灾难恢复计划所需的相同努力来识别,响应和缓解目标攻击。凭借数十年的经验,以下清单,以帮助组织准备和应对目标攻击。

2019-04-04 08:17:15

如何应对区块链网桥攻击
近几年来,去中心化金融(DeFi)发展的如火如荼,但是如此同时该领域也一直受到黑客攻击的困扰。在被区块链技术的批评者诟病的同时,也使得其更仔细地研究了这项技术是如何威胁安全的。

2022-06-29 10:58:31

去中心化黑客攻击威胁
提高网络安全情报 应对国际攻击
一位前美国国家安全顾问在今天的一个行业峰会上指出,网络威胁变得越来越复杂和全球化,其技术手段也在不停地进步,提高网络威胁情报水平越来越重要。

2013-03-29 09:27:03

Go 如何应对供应链攻击
Go工具链有一个明确的安全设计目标:无论是获取还是构建代码,都不会让该代码执行,无论代码是否不受信任或者恶意。这是一种有意义的风险缓解措施。

2022-04-06 10:12:51

Go供应链攻击风险
小型企业如何应对黑客攻击
小型企业和大型企业一样会受到黑客的攻击,因此一旦受到攻击,必须立即制定应对计划。不幸的是,如今,黑客攻击和数据泄露是开展业务不可避免的部分。

2019-10-08 10:12:26

安全黑客攻击数据
如何应对电子邮件退信攻击
所谓退信机制,即邮件系统在SMTP连接阶段,检查收件人是否存在,如果收件人不存在,或是接收端因为某种原因而不能接受,邮件系统将自动生成退信信息(NDR【NonDeliveryReport】)并自动发送给发件人。依据RFC的定义,邮件系统必须接受这种NDR,否则有可能导致连正常邮件都无法收取。邮件退信攻击就是利用邮件系统的这一特定产生的。

2010-09-17 14:11:18

如何应对WEB攻击的防护盲点
WEB攻击的数量逐年上升,占了大部分攻击事件比例。WEB安全已经推到了前沿浪尖,无论是政府还是企业都迫切解决这个棘手的问题,Gartner统计:目前75%攻击转移到应用层。

2010-04-08 12:43:28

如何应对evil twin无线接入攻击?
邪恶的双胞胎无线接入点(eviltwinaccesspoint)攻击是什么似乎有一种新的工具可以用以检测,企业是否可以考虑此外有其他的方法吗

2015-12-10 14:41:15

企业如何准备应对勒索软件攻击
鉴于与勒索软件攻击带来的损失,更不用说对企业声誉和员工士气的负面影响,因此必须制定计划

2022-09-26 13:37:45

勒索软件首席执行官
域名安全如何应对
域名安全事件让一向以技术著称的百度也措手不及。域名作为互联网的基础资源之一,对于企业来说非常重要,域名解析一旦出了问题,企业网站就在互联网上消失了,任何针对网站的攻击可能都没有域名出问题对企业的影响更大。那么企业如何才能有效降低企业的域名安全隐患?怎样防范和应对呢?

2011-08-12 13:19:27

应对攻击 评估云安全控制是关键
AlertLogic公司在最近发布了一篇2014云安全报告,报告显示近期针对云的攻击事件数量有明显增长的趋势。但是,企业的云基础设施是否为抗击云攻击做好了准备呢

2014-09-16 10:44:03

企业应当如何应对SQL注入式攻击
近年来,SQL注入式攻击一直如幽灵般困扰着众多企业,成为令企业毛骨悚然的梦魇。从八月中旬以来,新一轮的大规模SQL注入式攻击袭掠了大量的网站,连苹果公司的网站也未能幸免。这种猖獗的攻击向业界招示其日渐流行的趋势,黑客们也越来越喜欢这种可以渗透进入企业的基础架构和数据库资源的攻击方式。

2010-09-30 12:53:10

企业如何应对网络钓鱼攻击的激增?
网络犯罪分子正在有效地利用新兴技术、ChatGPT等人工智能工具和网络钓鱼工具包来减少技术障碍、节省时间和资源并扩大攻击范围。随着网络犯罪分子继续使用各种策略来引诱受害者,企业采用多层安全方法至关重要。

2023-12-19 10:08:47

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服