MySQL安全加固（黄缘掉皮）

本篇文章给大家谈谈MySQL安全加固，以及黄缘掉皮对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。

本文目录一览：

• 1、如何在Ubuntu上安装和使用MariaDB数据库
• 2、如何在两台服务器之间安全迁移MySQL数据库
• 3、Linux下禁止MySQL服务以管理员权限的账号运行命令
• 4、如何做好MySQL安全策略
• 5、mysql数据库被攻击怎么恢复数据

如何在Ubuntu上安装和使用MariaDB数据库

MariaDB概要介绍

MariaDB是MySQL数据库的一个分支版本，该版本主要是通过开源社区进行维护，MariaDB可以完全兼容MySQL（包括API和命令），主要区别在于存储引擎使用了XtraDB代替了InnoDB。

安装MariaDB软件包

通过一下命令进行安装：

# apt install mariadb-server python-pymysql

配置mySQL服务启动参数,为后续安装openStack提前准备好数据库环境

创建启动参数配置文件：/etc/mysql/mariadb.conf.d/99-openstack.cnf

输入如下内容：

[mysqld]

default-storage-engine = innodb

innodb_file_per_table

max_connections = 2048

collation-server = utf8mb4_general_ci

character-set-server = utf8mb4

重新启动mysql数据库服务

使用一下命令重启mysql

#service mysql restart

如果没有异常情况，则不会有任何输出，这时候可以使用如下命令查看服务运行状态

#service mysql status

启动mysql异常提示无效的字符编码问题处理

在步骤3创建的配置文件由于参数的名称输错导致启动失败，提示不支持utf8_general_ci

[mysqld]

default-storage-engine = innodb

innodb_file_per_table

max_connections = 2048

collation-server = utf8_general_ci

character-set-erver = utf8

启动MySQL服务失败这时候可以通过命令以下命令查看具体原因：

systemctl status mysql.service

通过检测发现character-set-erver参数名输错了导致启动失败，将其改为

character-set-server = utf8 即可

给mysql进行安全加固

使用脚本 mysql_sercure_installation进行mysql数据库安全加固

# mysql_secure_installation

启动脚本后按提示进行安全加固操作即可完成

使用mysql命令行连接mysql服务，验证mysql服务是否正常

#myslq -uroot -p

输入root密码即可连接到本机的mysql服务

使用IP地址方式连接和管理MySQL

使用如下命令进行连接MySQL发现连接异常(192.168.122.1为本机的IP地址)

#mysql -h192.168.122.1 -uroot -p

输入密码后发现连接失败，原因是因为我们配置的mysql服务参数中没有绑定IP地址，系统默认使用了local主机名进行，那么通过参数设定绑定IP地址即可

修改启动参数配置文件：/etc/mysql/mariadb.conf.d/99-openstack.cnf，增加IP地址绑定

[mysqld]

bind-address = 192.168.122.1

default-storage-engine = innodb

innodb_file_per_table

max_connections = 4096

collation-server = utf8_general_ci

character-set-server = utf8

如何在两台服务器之间安全迁移MySQL数据库

   迁移MySQL数据库通常只需要几个简单的步骤，但是由于您要转移的数据量可能比较庞大，因此一般耗时也会比较长。

    下面的步骤将指导您如何从旧的服务器上导出MySQL数据库，对它进行安全加固；然后将其复制并导入到新的服务器上，以保证数据的完整。

    将MySQL数据库导出至转储文件（dump file）

    Oracle提供了一个名为mysqldump的工具，允许您轻松地将数据库结构和其数据导出到一个SQL的转储文件。您可以使用如下的命令：

    1.mysqldump -u root -p --opt [database name] [database name].sql 

    不过，请注意如下几点：

    我们可以使用--single-transaction的标志，以避免数据库在导出数据的过程中被锁死。这样能够在将数据导出到转储文件的同时，您仍可继续在旧的数据库上更新数据。不过请注意，那些在导出进程已经开始之后被更新的数据，是不会被导入转储文件之中的。

    在运行该命令之前，请务必将[database name]替换成您的实际数据库名称。

    请输入您自己的用户名和相对应的密码，并确保该用户具有备份数据库所需的权限。

    安全加固备份文件

    在大多数情况下，数据是一家企业的最重要的资产。因此，我们不希望数据库的各种备份被暴露在不受保护的服务器上，因为这样有可能会造成错误地泄露，甚至会出现被黑客窃取等更为糟糕的状况。

    因此，通常您可以尝试的做法是：压缩、加密文件，然后删除原文件。在Linux操作系统上，请使用以下的命令对已压缩文件进行加密：

    1.zip --encrypt dump.zip db.sql 

    在压缩开始之前，系统将提示您输入密码。

    传输备份文件

    至此，我们已经获得了一个加密的转储文件。下面让我们通过网络使用SCP命令，将其传输到新的服务器上：

    1.scp /path/to/source-file user@host：/path/to/destination-folder/ 

    将MySQL转储导入新服务器

    通过上面一步，我们已将备份文件传到了新的服务器上，下面让我们来进行解密和提取：

    1.unzip -P your-password dump.zip 

    为了存储空间和安全方面的原因，一旦文件导入成功，请记得删除其对应的转储文件。

    您可以使用以下的命令来导入文件：

    1.mysql -u root -p newdatabase /path/to/newdatabase.sql 

    在新服务器上验证导入的数据

    现在我们在新服务器上已经导入了数据库，那么我们就需要一种方法来验证数据的真实存在，并确保没有任何遗漏。

    我建议您同时在旧的和新的数据库上运行如下查询，并将获得的结果进行对比。

    该查询会在所有的表里计算行数，以显示出新、旧数据库中的数据量。

    1.SELECT   

    2.TABLE_NAME,   

    3.TABLE_ROWS  

    4.FROM   

    `

    5.information_schema`.`tables`  

    6.WHERE   

    `

    7.table_schema` = 'YOUR_DB_NAME'； 

    此外，我建议您检查各个表中数字列的MIN和MAX记录，以确保数据本身是有效的，而不仅仅是看数据的总量（虽然这是查询所唯一能够读出的值）。另一种可供测试的选择是将数据库从新的服务器导出为SQL转储文件，并将其与旧服务器的SQL转储文件做比较。

    此外，在应用程序被迁移之前，我建议您先将一个应用程序的实例重定向到新的数据库上，以确认一切运行正常。

    另一种导出和导入的选项

    我们之所以把该选项放在最后，是因为我们的确不建议您去使用它。

    该方法实现起来非常的容易，因为它仅使用一个命令，便能一次性将转储文件导出、传输、并将其数据导入到新的数据库之中。

    而它的不足之处在于，一旦其网络链接断掉，您就需要重新启动它了。

    因此，我们认为它并不值得被推荐，尤其是在大型数据库中，可能会非常不适用。

    当然，如果您非要尝试一下的话，可以使用如下的命令：

    1.mysqldump -u root -pPassword --all-databases | ssh user@new_host.host.com 'cat - | mysql -u root -pPassword' 

    重要提示

    请确保在新旧两处，安装有相同官方发行版本的MySQL服务器。否则，你需要按照MySQL网站上的升级说明来进行统一（请参见（https：//dev.mysql.com/doc/refman/5.7/en/upgrading.html）。

    请确保您在旧的服务器上拥有足够的空间来保存转储文件和压缩文件（应该有db_size×2的空间）。

    请确保您在新的服务器上拥有足够的空间来保存加密的和解密的转储文件、并能导入数据库（应该有db_size×3的空间）。

    如果您曾经考虑过只是将datadir从一个数据库转移到另一个的话，我建议您最好不要这样做。否则，您会搞乱数据库的内部结构，而且会给将来可能的问题埋下隐患。

    在新的服务器配置中，请不要忘了配置诸如innodb_log_file_size这样的重要标志。因为如果忘记了根据新服务器的规格而更新配置的话，很可能会导致严重的性能问题。

    在许多情况下，一般升级到新的数据库服务器的初衷是为了提高查询性能。而如果此类升级没有达到预期的改善，那么您就应该考虑去优化SQL查询，而不仅仅是升级硬件那么简单了

Linux下禁止MySQL服务以管理员权限的账号运行命令

安全运行mysql服务。MySql应该使用非管理员账号运行，以普通账户安全运行mysqld采用加固方法，Linux下禁止MySQL服务以管理员权限的账号运行命令，安全运行mysql服务，从而保证系统程序的正常运行。

如何做好MySQL安全策略

摘至网页链接

常见Mysql配置文件：linux系统下是my.conf，windows环境下是my.ini；

数据库整体安全需求：机密性、完整性、可用性；

下面以mysql 5.7版本为例，介绍mysql常见的安全策略、配置、加固方式等等，有些策略可能只针对Linux操作系统，更多策略可以参考CIS Mysql Benchmark相关文档：

1、操作系统级别安全配置

1.1不要将数据库放在系统分区

Windows系统：直接检查是否将数据库放置在C盘。

Linux系统：

在终端连接上mysql数据库，执行如下命令：

show variables where variable_name = 'datadir';

然后返回shell命令行：

df -h datadir

其中datadir是上一条命令的返回值。

上述命令的返回值不应是/、/var、/usr

1.2使用专用的最小权限账号运行mysql数据库进程

Windows系统：直接打开任务管理器，查看运行mysql进程的操作系统账号，不能为administrator账号。

Linux系统：

Shell命令行运行如下命令：

ps -ef | grep mysql

查看mysql服务的运行账号是否为root或其他高权限账号，如果是的，则需要创建一个非管理员专用账号来运行mysql服务。

1.3禁止使用mysql命令行历史记录

Linux系统：

执行如下命令：

find / -name ".mysql_history"

查看是否存在mysql的历史命令记录文件，如果存在，则需要进行如下加固：

（1）删除.mysql_history文件；

（2）设置环境变量MYSQL_HISTFILE为/dev/null，并添加到shell的初始化脚本中，创建mysql_history到/dev/null的链接：

ln -s /dev/null $HOME/.mysql_history

1.4 确保MYSQL_PWD环境变量未设置敏感信息

Windows系统下进入cmd命令行，使用如下命令：

Set

查看是否设置了环境变量MYSQL_PWD。

Linux系统下使用如下命令：

grep MYSQL_PWD /proc/*/environ

查看MYSQL_PWD环境变量是否设置了敏感信息。

确认那个配置文件或脚本设置了MYSQL_PWD环境变量。

2、安装

2.1使用数据库专用服务器

使用专用的服务器安装mysql服务可以减少mysql服务的攻击面，尽量卸载或删除操作系统上的不必要的应用或服务，减少其他应用的安装可能给mysql的运行带来的安全风险。

2.2 不要复用数据库账号

运行mysql服务的操作系统账号不要用来运行其他应用或服务，这样可以避免其他应用或服务器被攻击给mysql服务带来影响。

2.3 历史命令行密码设置为不可见

使用如下命令：

mysql -u admin -p password

连接mysql数据库服务，退出后查看历史命令，确认password是否为明文。

建议使用如下命令方式登录：

（1）先输入mysql -u admin -p

（2）根据命令行提示输入密码；

而不要在一整条命令中输入密码。

另外要控制mysql配置文件访问权限。

3、文件权限控制

3.1 控制数据目录的访问权限

数据目录是mysql数据库存放的位置，在mysql命令行界面下执行如下命令：

show variables where variable_name = 'datadir';

在终端命令行下执行如下命令：

ls -l datadir/.. | egrep "^d[r|w|x]{3}------\s*.\s*mysql\s*mysql\s*\d*.*mysql"

其中datadir是第一条命令的执行结果

如果存在问题，linux环境下在终端执行如下命令进行加固：

chmod 700 datadir

chown mysql:mysql datadir

3.2 控制二进制日志文件的权限

mysql的运行会产生很多日志，例如二进制日志、错误日志、慢查询日志等等，Mysql命令行下执行如下命令：

show variables like 'log_bin_basename';

在终端命令行执行如下命令：

ls log_bin_basename.*

对于发现的每一个文件，执行如下命令：

ls -l log_bin_basename.nnnnn | egrep "^-[r|w]{2}-[r|w]{2}----\s*.*$"

根据输出确认日志文件的权限设置是否存在问题。

对于每个日志文件，修改其权限和属组如下：

chmod 660 log file

chown mysql:mysql log file

3.3 控制错误日志文件的权限

Mysql命令行下执行如下命令：

show variables like 'log_error';

在终端命令行执行如下命令：

ls log_error.*

对于发现的每一个文件，执行如下命令：

ls -l log_error | egrep "^-[r|w]{2}-[r|w]{2}----\s*.*$"

根据输出确认日志文件的权限设置是否存在问题。

对于每个日志文件，修改其权限和属组如下：

chmod 660 log file

chown mysql:mysql log file

3.4控制慢查询日志文件的权限

Mysql命令行下执行如下命令：

show variables like 'slow_query_log_file';

在终端命令行执行如下命令：

ls slow_query_log_file.*

对于发现的每一个文件，执行如下命令：

ls -l slow_query_log_file | egrep "^-[r|w]{2}-[r|w]{2}----\s*.*$"

根据输出确认日志文件的权限设置是否存在问题。

对于每个日志文件，修改其权限和属组如下：

chmod 660 log file

chown mysql:mysql log file

3.5控制通用日志文件的权限

Mysql命令行下执行如下命令：

show variables like 'general_log_file';

在终端命令行执行如下命令：

ls general_log_file.*

对于发现的每一个文件，执行如下命令：

ls -l general_log_file | egrep "^-[r|w]{2}-[r|w]{2}----\s*.*$"

根据输出确认日志文件的权限设置是否存在问题。

对于每个日志文件，修改其权限和属组如下：

chmod 660 log file

chown mysql:mysql log file

3.6控制审计日志文件的权限

Mysql命令行下执行如下命令：

show global variables where variable_name =  'audit_log_file';

在终端执行如下命令：

ls -l audit_log_file | egrep "^-rw[-x]rw[-x][-r][-w][-x][ \t]*[0-9][ \t]*mysql[

\t]*mysql.*$"

根据输出确认日志文件的权限设置是否存在问题。

对于每个日志文件，修改其权限和属组如下：

chmod 660 audit_log_file

chown mysql:mysql audit_log_file

4、通用安全

4.1安装最新的补丁

在mysql命令行下查询MySQL的版本：

SHOW VARIABLES WHERE Variable_name LIKE "version";

确认是否由需要安装的补丁包，如果有请安装。

4.2 删除test数据库

Mysql数据库默认安装好后，存在一个名为test的数据库，如果存在，请执行如下命令删除：

Drop database “test”

4.3 确保读取本地文件的参数设置为失效

Mysql命令行下，使用如下命令：

SHOW VARIABLES WHERE Variable_name = 'local_infile';

查看结果是否为OFF。

如果该命令为ON，则数据库用户可以通过LOAD DATA INFILE 或者 SELECT local_file 读取到数据库所在操作系统本地的文件，在这种情况下，需要在mysql配置文件中新增一行：

Local-infile=0；

然后重启数据库服务。

5、权限配置

5.1控制可以访问所有数据库的账号

Mysql数据库下的user表和db表中存放着可以授予数据库用户的权限，确保只有管理员账号才能访问所有数据库。可以访问mysql数据库的用户或许可以查看密码哈希值、修改用户权限等等。

使用如下sql语句：

SELECT user, host FROM mysql.user

WHERE (Select_priv = 'Y') OR (Insert_priv = 'Y') OR (Update_priv = 'Y')

OR (Delete_priv = 'Y')  OR (Create_priv = 'Y')  OR (Drop_priv = 'Y');

SELECT user, host FROM mysql.db WHERE db = 'mysql'

AND ((Select_priv = 'Y') OR (Insert_priv = 'Y') OR (Update_priv = 'Y')

OR (Delete_priv = 'Y') OR (Create_priv = 'Y') OR (Drop_priv = 'Y'));

确保返回结果只能是数据库管理员账号。

5.2限制非管理员用户的权限

Mysql.user表中的权限列有：

file_priv：表示是否允许用户读取数据库所在主机的本地文件；

Process：表示是否允许用户查询所有用户的命令执行信息；

Super_priv：表示用户是否有设置全局变量、管理员调试等高级别权限；

Shutdown_priv：表示用户是否可以关闭数据库；

Create_user_priv：表示用户是否可以创建或删除其他用户；

Grant_priv：表示用户是否可以修改其他用户的权限；

应确保只有数据库管理员才有上述权限，使用如下sql语句查看拥有各个权限的数据库账号：

select user, host from mysql.user where File_priv = 'Y';

select user, host from mysql.user where Process_priv = 'Y';

select user, host from mysql.user where Process_priv = 'Y';

SELECT user, host FROM mysql.user WHERE Shutdown_priv = 'Y';

SELECT user, host FROM mysql.user WHERE Create_user_priv = 'Y';

SELECT user, host FROM mysql.user WHERE Grant_priv = 'Y';

SELECT user, host FROM mysql.db WHERE Grant_priv = 'Y';

确保查询结果中不存在非管理员用户。

如果存在非管理员用户，使用如下命令进行权限回收：

REVOKE FILE ON *.* FROM 'user';

REVOKE PROCESS ON *.* FROM 'user';

REVOKE SUPER ON *.* FROM 'user';

REVOKE SHUTDOWN ON *.* FROM 'user';

REVOKE CREATE USER ON *.* FROM 'user';

REVOKE GRANT OPTION ON *.* FROM user;

其中user为上述查询到的非管理员用户。

5.3合理控制DML/DDL操作授权

DML/DDL语句包括创建或修改数据库结构的权限，例如insert、update、delete、create、drop和alter语句，在任何数据库中都要控制用户的此类权限，确保只授权给有业务需求的非管理员用户。Mysql命令行下执行如下命令：

SELECT User,Host,Db FROM mysql.db WHERE Select_priv='Y'

OR Insert_priv='Y' OR Update_priv='Y' OR Delete_priv='Y' OR Create_priv='Y'

OR Drop_priv='Y' OR Alter_priv='Y';

上述查询到的用户只能对特地的数据库才有相关的权限，使用如下命令进行相关权限的回收：

REVOKE SELECT ON host.database FROM user;

REVOKE INSERT ON host.database FROM user;

REVOKE UPDATE ON host.database FROM user;

REVOKE DELETE ON host.database FROM user;

REVOKE CREATE ON host.database FROM user;

REVOKE DROP ON host.database FROM user;

REVOKE ALTER ON host.database FROM user;

其中user为查询到的未授权的用户，host为相关主机，database为相关数据库。

6、审计和日志

6.1开启错误日志审计功能

错误日志包括数据库运行和停止过程中的一系列活动信息，有助于分析数据库运行过程中的一些异常活动，一般情况下需要开启错误日志记录功能，使用如下命令查询：

SHOW variables LIKE 'log_error';

确保返回结果为非空，如果为空，需要在mysql数据库配置文件中增加相关配置。

6.2确保日志存放在非系统区域

日志文件随着数据库的运行会不断增加，如果存放在系统区域，则会影响系统的正常运行，使用如下命令进行查询：

SELECT @@global.log_bin_basename;

确保返回结果不是如下路径：/、/var、/usr

6.3关闭原始日志功能

原始日志选项会决定一些敏感信息是否会被明文写进日志中，例如查询日志、慢查询日志、二进制日志，确保数据库配置文件中存在如下配置项：

Log-raw = OFF

7、认证

7.1 Old_passwords环境变量设置

Old_passwords决定了使用PASSWORD()函数和IDENTIFIED BY 、CREATE USER 、GRANT 等语句是时的hash算法：

0 - authenticate with the mysql_native_password plugin

1 - authenticate with the mysql_old_password plugin

2 - authenticate with the sha256_password plugin

设置为mysql_old_password代表弱hash算法，可以快速通过密码字典进行暴力破解。使用如下命令查询相关值：

SHOW VARIABLES WHERE Variable_name = 'old_passwords';

确保返回值不为1。

7.2 secure_auth 选项设置

如果客户端采用Old_passwords发起连接请求，如果服务器端设置了secure_auth，则客户端会拒绝连接请求，可以根据安全需求在配置文件中做相应配置。

7.3 密码保存

确保密码没有明文保存在全局配置文件中。

7.4 确保所有用户都要求使用非空密码登录

执行如下语句查询是否有用户不需要密码即可登录：

SELECT User,host

FROM mysql.user

WHERE (plugin IN('mysql_native_password', 'mysql_old_password')

AND (LENGTH(Password) = 0

OR Password IS NULL))

OR (plugin='sha256_password' AND LENGTH(authentication_string) = 0);

7.5不存在空账号

使用如下命令查询是否存在空账号：

SELECT user,host FROM mysql.user WHERE user = '';

8、网络设置

如果mysql数据库服务器与应用是跨信任域部署的，则需要考虑在数据库服务器与应用服务器之间建立ssl通道进行数据传输，不过这种场景一般很少见，在此不详细描述。

9、数据库备份

mysql数据库被攻击怎么恢复数据

　解决方法一：

一些库可以保留30天的备份。主库的Binlog保留时间为7天，可以从库备份拿出来恢复，然后通过主库的Binlog通过时间段来筛选出时间段所有更改的一些数据。或者通过其他方法慢慢将这部分数据找出来。一定得先找备份及时间点在备份的从库上检查备份，通过确定时间点可以查看备份文件进行恢复。

具体恢复操作：

1.从备份机拷贝备份

2.恢复测试机解压

3.恢复测试机导入

4.将主库的Binlog拷贝到恢复测试机

5.使用MySQLBinlog 生成SQL脚本

6.Binlog生成的SQL脚本导入

7.导入完成后检查数据正确性

解决方法二：

联系专业的资料恢复公司进行恢复。在数据局遭到攻击在没有备份或者无法恢复的情况下，由于资料恢复的复杂性专业性，如果擅自操作可能会使得数据库遭受无法恢复的灾难。这时候为了避免出现更大的损失，我们应该停止操作，以免造成数据的二次破坏。这时候应该第一时间联系专业的资料恢复公司进行处理。

关于MySQL安全加固和黄缘掉皮的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。