简单几招提高MySQL安全性

摘要： 导读 如何提高MySQL的安全性 数据库的安全性无疑很重要，这里教大家几招简单方法提高安全性。 1. 正确设置 datadir 权限模式 关于 datadir 正确的权限模式是 0750，甚至是 0700。

导读

如何提高MySQL的安全性

数据库的安全性无疑很重要，这里教大家几招简单方法提高安全性。

1. 正确设置 datadir 权限模式

关于 datadir 正确的权限模式是 0750，甚至是 0700。

也就是最多只允许 mysqld 进程属主用户及其所在用户组可访问，但只有属主可修改文件。

最好是直接设置成 0700，相对更安全些，避免数据文件意外泄漏。

[yejr@imysql.com]# chown -R mysql.mysql /data/mysql57
[yejr@imysql.com]# chmod 0700 /data/mysql57
[yejr@imysql.com]# ls -la /data/
 drwxr-x---. 8 mysql mysql 4096 Feb 14 08:08 mysql57

2. 将 mysql socket 文件放在 datadir 下

很多人习惯将 mysql socket文件放在 /tmp 目录下。

尤其是跑多实例时，/tmp 目录下可能有 mysql3306.sock、mysql3307.sock、mysql3308.sock 等多个这样的文件。

要注意，mysql.sock 文件默认的权限模式是 0777，也就是任何人都有机会通过 /tmp 目录下的 socket 文件直接登入 mysql，尤其是root密码为空或弱密码，并且还允许本地 socket 方式登入时，是个比较危险的安全隐患。

因此，我们强烈建议把 mysql socket 文件放置在每个实例自己的 datadir 下，并且参考第一条建议，设置正确的权限模式。同时甚至也可以把 mysql.sock 文件权限模式修改为 0700。

[yejr@imysql.com]# chmod 0700 /data/mysql57/mysql.sock
[yejr@imysql.com]# ls -la /data/mysql57/mysql.sock
 srwx------. 1 mysql mysql 0 Feb 12 16:00 /data/mysql57/mysql.sock

3. 使用login-path

一般来说，我们会为每个mysql账户设置密码，这样是安全了，但使用和维护起来就不方便了。

每次登入都要输入密码，尤其是调用mysql client工具时，如果直接将密码写在client工具的选项里，则是非常危险的行为，从历史命令就能看到密码了，并且会有类似下面的提示：

mysql: [Warning] Using a password on the command line interface can be insecure.

这时候，我们其实可以利用 login-path 功能来提高安全性及便利性。

login-path 特性是MySQL 5.6新增的。

首先，利用 mysql_config_editor 配置login-path：

#选项 ”-G lp-mysql57-3306”设定login-path的别名
mysql_config_editor set -G lp-mysql57-3306 -S /data/mysql57/mysql.sock -uroot -p

设置完后，就会在该用户的 $HOME目录下生成 .mylogin.cnf 文件：

[yejr@imysql.com]# ls -la ~/.mylogin.cnf
 -rw-------. 1 yejr users 152 Feb 11 22:42 /home/yejr/.mylogin.cnf
[yejr@imysql.com]# file ~/.mylogin.cnf
 /home/yejr/.mylogin.cnf: data

这是个加密的二进制文件，即便用明文方式查看，也是无法显示密码的：

[yejr@imysql.com]# mysql_config_editor print --all
 mysql_config_editor print --all
 [lp-mysql57-13306]
 user = root
 password = *****
 socket = /data/mysql57/mysql.sock

接下来可以利用 login-path 很方便的登入 mysqld 而无需额外的密码：

[yejr@imysql.com]# mysql --login-path=lp-mysql57-13306 -e "select 1+1 from dual"
 +-----+
 | 1+1 |
 +-----+
 | 2 |
 +-----+
[yejr@imysql.com]# mysqladmin --login-path=lp-mysql57-13306 pr
 +----+------+-----------+----+---------+------+----------+------------------+
 | Id | User | Host | db | Command | Time | State | Info |
 +----+------+-----------+----+---------+------+----------+------------------+
 | 3 | root | localhost | | Query | 0 | starting | show processlist |
 +----+------+-----------+----+---------+------+----------+------------------+

在做好前面两条安全规则的前提下，即便万一某个高权限等级用户的 .mylogin.cnf 文件被其他普通用户盗取，也无法利用 socket 方式登入 mysql。

当然了，除非你之前在 login-path 里设置的是走 tcp/ip 方式，那就悲剧了～

下面是假设 yejr 普通账号想利用 root 账号的 .mylogin.cnf 文件登入，报告失败，因为无法访问 /data/mysql57/mysql.sock 文件：

[yejr@imysql ~]$ /usr/local/mysql57/bin/mysql --login-path=lp-mysql57-13306
 ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/data/mysql57/mysql.soock' (13)