Web安全與防護(hù) （微課版） 課件 08-4 項(xiàng)目八 任務(wù)四 MySQL安全配置

項(xiàng)目八安全的應(yīng)用發(fā)布Web安全與防護(hù)本任務(wù)要點(diǎn)學(xué)習(xí)目標(biāo)配置MySQL的安全配置項(xiàng)以滿(mǎn)足安全需求。熟悉MySQL各項(xiàng)安全參數(shù)的配置方法。熟悉MySQL數(shù)據(jù)庫(kù)用戶(hù)降權(quán)的配置方法。熟悉MySQL數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)控制的配置方法。任務(wù)四MySQL安全配置目錄CONTENTS01/配置MySQL參數(shù)02/數(shù)據(jù)庫(kù)用戶(hù)降權(quán)03/數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)控制配置MySQL參數(shù)01禁止MySQL以管理員帳號(hào)權(quán)限運(yùn)行：以普通賬戶(hù)安全運(yùn)行MySQL，禁止以管理員賬號(hào)權(quán)限運(yùn)行MySQL服務(wù)。在/etc/f配置文件中進(jìn)行以下設(shè)置。在前面搭建環(huán)境的環(huán)節(jié)中，Ubuntu通過(guò)APT安裝的MySQL服務(wù)器默認(rèn)滿(mǎn)足該項(xiàng)配置。[mysql.server]User=mysql配置MySQL參數(shù)01最大連接數(shù)設(shè)置：根據(jù)您的機(jī)器性能和業(yè)務(wù)需求，設(shè)置最大、最小連接數(shù)。在MySQL配置文件（my.conf或my.ini）的[mysqld]配置段中添加max_connections=1000，保存配置文件，重啟MySQL服務(wù)后即可生效。secure_file_priv：secure_file_priv限制客戶(hù)端可以讀取數(shù)據(jù)文件的路徑，secure_file_priv設(shè)置合理的值可以有效降低SQL注入后黑客讀取數(shù)據(jù)庫(kù)數(shù)據(jù)的可能性。檢查參數(shù)狀態(tài)執(zhí)行命令如下：SHOWGLOBALVARIABLESWHEREVariable_name='secure_file_priv'ANDValue<'';如果有返回內(nèi)容說(shuō)明安全，否則需要修復(fù)；配置MySQL參數(shù)01disconnect_on_expired_password：disconnect_on_expired_password是用來(lái)控制客戶(hù)端用失效密碼來(lái)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的，關(guān)閉這個(gè)參數(shù)會(huì)給數(shù)據(jù)庫(kù)帶來(lái)安全風(fēng)險(xiǎn)。檢查參數(shù)狀態(tài)執(zhí)行命令如下：SHOWGLOBALVARIABLESLIKE'disconnect_on_expired_password’;錯(cuò)誤日志記錄：?jiǎn)⒂缅e(cuò)誤日志有可能會(huì)增加檢測(cè)到針對(duì)mySQL的惡意攻擊行為機(jī)會(huì)，執(zhí)行命令如下：SHOWvariablesLIKE'log_error';配置MySQL參數(shù)01log_warnings：log_warnings適用于決定日志中記錄的內(nèi)容的，默認(rèn)是1隨著級(jí)別的調(diào)整會(huì)記錄更多信息，調(diào)整到2有助于通過(guò)日志追查安全問(wèn)題。執(zhí)行命令如下：SHOWGLOBALVARIABLESLIKE'log_warnings’;密碼生命周期：密碼需要定期更換，才有意義，也才能更有效的防止黑客破解。執(zhí)行命令如下：SHOWVARIABLESLIKE'default_password_lifetime';數(shù)據(jù)庫(kù)用戶(hù)降權(quán)02生產(chǎn)環(huán)境中網(wǎng)站所使用的數(shù)據(jù)庫(kù)用戶(hù)建議只授予必要的權(quán)限，本書(shū)中開(kāi)發(fā)的博客管理系統(tǒng)實(shí)際功能僅涉及到數(shù)據(jù)庫(kù)的增刪改查，那么對(duì)應(yīng)的，我們僅需要給相應(yīng)的用戶(hù)僅：SELECT、UPDATE、INSERT、DELETE權(quán)限即可。執(zhí)行如下命令：grantselect,update,insert,deleteonblog.*to‘web’@’localhost’;flushprivileges;在配置中，需要把握的原則是：僅授予網(wǎng)站業(yè)務(wù)功能所必須的權(quán)限即可。多余權(quán)限無(wú)法保證不帶來(lái)安全風(fēng)險(xiǎn)。數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)控制03MySQL數(shù)據(jù)庫(kù)中的mysql庫(kù)存儲(chǔ)了關(guān)于所有mysql用戶(hù)的詳細(xì)信息，其中的Host字段代表了允許用戶(hù)登錄所使用的IP地址，通常用來(lái)給不同的mysql用戶(hù)做訪(fǎng)問(wèn)控制，當(dāng)該字段被設(shè)置為%時(shí)，代表允許任何主機(jī)連接登錄；在實(shí)際生產(chǎn)中我們需要嚴(yán)格審查這類(lèi)用戶(hù)，在不影響業(yè)務(wù)的情況下，盡量將數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)控制做到最嚴(yán)格。我們可以執(zhí)行以下命令來(lái)確認(rèn)所有用戶(hù)允許登錄使用的IP地址：selectuser,hostfrommysql.user;結(jié)合實(shí)際業(yè)務(wù)邏輯，對(duì)返回結(jié)果進(jìn)行詳細(xì)評(píng)估，糾正存在風(fēng)險(xiǎn)的用戶(hù)，如圖課堂實(shí)踐一、任務(wù)名稱(chēng)：MySQL安全配置二、任務(wù)內(nèi)容：對(duì)已搭建的生產(chǎn)環(huán)境中的MySQL進(jìn)行安全配置。三、工具需求：瀏覽器、Vmware、MySQL四、任務(wù)要求：完成實(shí)踐練習(xí)后，由老師檢查完成情況。課堂思考一、MySQL作為數(shù)據(jù)庫(kù)具有那些優(yōu)勢(shì)？二、除了MySQL之外還有哪些替代品？三、MySQL配置不當(dāng)可能會(huì)造成哪些危害？課后拓展：國(guó)產(chǎn)數(shù)據(jù)庫(kù)請(qǐng)同學(xué)們通過(guò)互