Mysql在linux服務(wù)器上的安全設(shè)置

mysql 部分版本（也可能是全部……）允許本地用戶進(jìn)行無(wú)密碼無(wú)用戶名的本地登錄。

10余年的張家港網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開(kāi)發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。成都全網(wǎng)營(yíng)銷(xiāo)的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整張家港建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無(wú)論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。成都創(chuàng)新互聯(lián)從事“張家港網(wǎng)站設(shè)計(jì)”,“張家港網(wǎng)站推廣”以來(lái)，每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

這個(gè)只允許本地的。

可以把這個(gè)無(wú)密碼用戶禁用或者干脆刪掉，怎么操作就不知道了。我以前裝完 mysql ，用 phpmyadmin 登錄后看到過(guò)。

web服務(wù)器安全設(shè)置

Web服務(wù)器攻擊常利用Web服務(wù)器軟件和配置中的漏洞，web服務(wù)器安全也是我們現(xiàn)在很多人關(guān)注的一點(diǎn)，那么你知道web服務(wù)器安全設(shè)置嗎?下面是我整理的一些關(guān)于web服務(wù)器安全設(shè)置的相關(guān)資料，供你參考。

web服務(wù)器安全設(shè)置一、IIS的相關(guān)設(shè)置

刪除默認(rèn)建立的站點(diǎn)的虛擬目錄，停止默認(rèn)web站點(diǎn)，刪除對(duì)應(yīng)的文件目錄c:inetpub，配置所有站點(diǎn)的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制， 帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴(kuò)展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴(kuò)展。對(duì)于php和cgi，推薦使用isapi方式解析，用exe解析對(duì)安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯(cuò)誤信息給客戶。

對(duì)于數(shù)據(jù)庫(kù)，盡量采用mdb后綴，不需要更改為asp，可在IIS中設(shè)置一個(gè)mdb的擴(kuò)展映射，將這個(gè)映射使用一個(gè)無(wú)關(guān)的dll文件如C:WINNTsystem32inetsrvssinc.dll來(lái)防止數(shù)據(jù)庫(kù)被下載。設(shè)置IIS的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯(cuò)誤信息。修改403錯(cuò)誤頁(yè)面，將其轉(zhuǎn)向到其他頁(yè)，可防止一些掃描器的探測(cè)。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。

對(duì)于用戶站點(diǎn)所在的目錄，在此說(shuō)明一下，用戶的FTP根目錄下對(duì)應(yīng)三個(gè)文件佳，wwwroot，database，logfiles，分別存放站點(diǎn)文件，數(shù)據(jù)庫(kù)備份和該站點(diǎn)的日志。如果一旦發(fā)生入侵事件可對(duì)該用戶站點(diǎn)所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫(xiě)入權(quán)限。因?yàn)槭翘摂M主機(jī)平常對(duì)腳本安全沒(méi)辦法做到細(xì)致入微的地步。

方法

用戶從腳本提升權(quán)限：

web服務(wù)器安全設(shè)置二、ASP的安全設(shè)置

設(shè)置過(guò)權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運(yùn)行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過(guò)wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權(quán)限，重新啟動(dòng)IIS即可生效。但不推薦該方法。

另外，對(duì)于FSO由于用戶程序需要使用，服務(wù)器上可以不注銷(xiāo)掉該組件，這里只提一下FSO的防范，但并不需要在自動(dòng)開(kāi)通空間的虛擬商服務(wù)器上使用，只適合于手工開(kāi)通的站點(diǎn)。可以針對(duì)需要FSO和不需要FSO的站點(diǎn)設(shè)置兩個(gè)組，對(duì)于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動(dòng)服務(wù)器即可生效。

對(duì)于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會(huì)發(fā)現(xiàn)海陽(yáng)木馬已經(jīng)在這里失去了作用!

web服務(wù)器安全設(shè)置三、PHP的安全設(shè)置

默認(rèn)安裝的php需要有以下幾個(gè)注意的問(wèn)題：

C:\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認(rèn)是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的;]

web服務(wù)器安全設(shè)置四、MySQL安全設(shè)置

如果服務(wù)器上啟用MySQL數(shù)據(jù)庫(kù)，MySQL數(shù)據(jù)庫(kù)需要注意的安全設(shè)置為：

刪除mysql中的所有默認(rèn)用戶，只保留本地root帳戶，為root用戶加上一個(gè)復(fù)雜的密碼。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時(shí)候，并限定到特定的數(shù)據(jù)庫(kù)，尤其要避免普通客戶擁有對(duì)mysql數(shù)據(jù)庫(kù)操作的權(quán)限。檢查mysql.user表，取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv權(quán)限，這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的 其它 信息出去?？梢詾閙ysql設(shè)置一個(gè)啟動(dòng)用戶，該用戶只對(duì)mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫(kù)的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫(kù)的數(shù)據(jù)信息)。對(duì)于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。

Serv-u安全問(wèn)題：

安裝程序盡量采用最新版本，避免采用默認(rèn)安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個(gè)復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動(dòng)模式端口范圍(4001—4003)在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時(shí)調(diào)度，攔截“FTP bounce”攻擊和FXP，對(duì)于在30秒內(nèi)連接超過(guò)3次的用戶攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫(xiě)字母，高級(jí)中設(shè)置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動(dòng)用戶：在系統(tǒng)中新建一個(gè)用戶，設(shè)置一個(gè)復(fù)雜點(diǎn)的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個(gè)FTP根目錄，需要給予這個(gè)用戶該目錄完全控制權(quán)限，因?yàn)樗械膄tp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無(wú)法操 作文 件。另外需要給該目錄以上的上級(jí)目錄給該用戶的讀取權(quán)限，否則會(huì)在連接的時(shí)候出現(xiàn)530 Not logged in, home directory does not exist。比如在測(cè)試的時(shí)候ftp根目錄為d:soft，必須給d盤(pán)該用戶的讀取權(quán)限，為了安全取消d盤(pán)其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動(dòng)就沒(méi)有這些問(wèn)題，因?yàn)閟ystem一般都擁有這些權(quán)限的。

web服務(wù)器安全設(shè)置五、數(shù)據(jù)庫(kù)服務(wù)器的安全設(shè)置

對(duì)于專(zhuān)用的MSSQL數(shù)據(jù)庫(kù)服務(wù)器，按照上文所講的設(shè)置TCP/IP篩選和IP策略，對(duì)外只開(kāi)放1433和5631端口。對(duì)于MSSQL首先需要為sa設(shè)置一個(gè)強(qiáng)壯的密碼，使用混合身份驗(yàn)證,加強(qiáng)數(shù)據(jù)庫(kù)日志的記錄,審核數(shù)據(jù)庫(kù)登陸事件的”成功和失敗”.刪除一些不需要的和危險(xiǎn)的OLE自動(dòng)存儲(chǔ)過(guò)程(會(huì)造成 企業(yè)管理 器中部分功能不能使用),這些過(guò)程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊(cè)表訪問(wèn)過(guò)程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統(tǒng)存儲(chǔ)過(guò)程，如果認(rèn)為還有威脅，當(dāng)然要小心drop這些過(guò)程，可以在測(cè)試機(jī)器上測(cè)試，保證正常的系統(tǒng)能完成工作，這些過(guò)程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實(shí)例可防止對(duì)1434端口的探測(cè),可修改默認(rèn)使用的1433端口。除去數(shù)據(jù)庫(kù)的guest賬戶把未經(jīng)認(rèn)可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫(kù),因?yàn)閷?duì)他們guest帳戶是必需的。另外注意設(shè)置好各個(gè)數(shù)據(jù)庫(kù)用戶的權(quán)限，對(duì)于這些用戶只給予所在數(shù)據(jù)庫(kù)的一些權(quán)限。在程序中不要用sa用戶去連接任何數(shù)據(jù)庫(kù)。網(wǎng)絡(luò)上有建議大家使用協(xié)議加密的，千萬(wàn)不要這么做，否則你只能重裝MSSQL了。

3306 MYSQL 訪問(wèn) 安全配置

首先出現(xiàn)的是安裝向?qū)g迎界面,直接點(diǎn)擊“Next”繼續(xù)，選擇安裝類(lèi)型,選擇“自定義”custom安裝，然后點(diǎn)“Next”下一步，出現(xiàn)自定義安裝界面，選擇安裝路徑：C:\MySQL Server 4.1(可自定義)點(diǎn)“OK”返回到自定義安裝界面，路徑已改為設(shè)置的路徑，點(diǎn)“Next”，準(zhǔn)備開(kāi)始安裝，點(diǎn)“Install”開(kāi)始安裝，完成后出現(xiàn)創(chuàng)建MySQL點(diǎn)抗 帳號(hào)的界面。

如果是首次使用MySQL，選“Create anew free MySQL點(diǎn)抗 accout”，點(diǎn)“Next”，輸入你的Email地址和自己設(shè)定的用于登錄MySQL點(diǎn)抗 的密碼，填完后點(diǎn)“Next”進(jìn)入第二步，填寫(xiě)姓名等相關(guān)信息，填完點(diǎn)“Next”，進(jìn)入第三步，填完電話號(hào)碼、公司名稱等信息后，點(diǎn)“Next”，然后出現(xiàn)預(yù)覽你剛才填的信息的界面，點(diǎn)“Next”出現(xiàn)安裝完成界面。

注意，這里有個(gè)配置向?qū)У倪x項(xiàng)（Configure the MySQL Server now），建議勾選立即配置你的MySQL。許多說(shuō)安裝完MySQL后無(wú)法啟動(dòng)，原因就在于沒(méi)有配置MySQL。

點(diǎn)擊“Finish”完成安裝，并開(kāi)始配置MySQL，點(diǎn)“Next”，進(jìn)入配置類(lèi)型選擇頁(yè)面。選“Detailed configuration”(詳細(xì)配置)，點(diǎn)“Next”，進(jìn)入服務(wù)類(lèi)型選擇頁(yè)面。選“Developer Machine”（開(kāi)發(fā)者機(jī)器），這樣占用系統(tǒng)的資源不會(huì)很多，點(diǎn)“Next”后，進(jìn)入數(shù)據(jù)庫(kù)用法選擇頁(yè)面。

選擇“Multifunctional Database”，點(diǎn)“Next”，進(jìn)入選擇InnoDB數(shù)據(jù)存放位置頁(yè)面，不用更改設(shè)置，直接放在Installation Path安裝目錄里即可，然后點(diǎn)“Next”，選擇MySQL的同時(shí)聯(lián)接數(shù)，選擇“Manual Setting”，設(shè)置為100(根據(jù)自己需要，酌情設(shè)置)

點(diǎn)“Next”，配置MySQL在TCP/IP通訊環(huán)境中的端口選擇默認(rèn)的3306端口即可。點(diǎn)“Next”，選擇MySQL中的字符設(shè)置，注意，這里的選擇將會(huì)影響你是否能在MySQL中使用中文。選擇gb2312字符集以便支持簡(jiǎn)體中文，點(diǎn)“Next”，設(shè)置Windows服務(wù)選項(xiàng)，注意，這里的選擇很關(guān)鍵。

“Install As Windows Service”一定要勾選，這是將MySQL作為Windows的服務(wù)運(yùn)行。“Service Name”就用默認(rèn)的“MySQL”下面的“Launch the MySQL Server automatically”一定要勾選，這樣Windows啟動(dòng)時(shí)，MySQL就會(huì)自動(dòng)啟動(dòng)服務(wù)，要不然就要手工啟動(dòng)MySQL。

許多人說(shuō)安裝MySQL后無(wú)法啟動(dòng)、無(wú)法連接、出現(xiàn)10061錯(cuò)誤，原因就在這里。點(diǎn)“Next”，設(shè)置根帳號(hào)root的登錄密碼，“Modify Security Settings”是設(shè)置根帳號(hào)的密碼，輸入你設(shè)定的密碼即可。 “Create An Anonymous Account”是創(chuàng)建一個(gè)匿名帳號(hào)，這樣會(huì)導(dǎo)致未經(jīng)授權(quán)的用戶非法訪問(wèn)你的數(shù)據(jù)庫(kù)，有安全隱患，建議不要勾選。點(diǎn)“Next”，MySQL配置向?qū)⒁罁?jù)你上面的所有設(shè)定配置MySQL，以便MySQL的運(yùn)行符合你的需要，點(diǎn)“Execute”開(kāi)始配置，當(dāng)出現(xiàn)“Service started successfully”時(shí)，說(shuō)明你的配置完成，MySQL服務(wù)啟動(dòng)成功點(diǎn)“Finish”完成，整個(gè)MySQL的配置完成，剩下的就是用MySQL客戶端連接MySQL服務(wù)器，然后使用了。

如何提高mysql的安全性

一 作為最流行的開(kāi)源數(shù)據(jù)庫(kù)引擎，MySQL本身是非常安全的。即便如此，你仍然需要添加額外的安全層來(lái)保護(hù)你的MySQL數(shù)據(jù)庫(kù)不受攻擊，畢竟任何經(jīng)營(yíng)網(wǎng)上

在線業(yè)務(wù)的人都不想冒數(shù)據(jù)庫(kù)受到損壞的風(fēng)險(xiǎn)。接下來(lái)，我們將介紹一些實(shí)用的辦法，你可以利用這些辦法來(lái)保護(hù)MySQL數(shù)據(jù)庫(kù)，以便加強(qiáng)網(wǎng)站的安全性。

二 保護(hù)操作系統(tǒng)

確保操作系統(tǒng)的安全是保護(hù)數(shù)據(jù)庫(kù)安全的前提，因?yàn)槿绻麄€(gè)運(yùn)行環(huán)境不安全，那么網(wǎng)站上所有的東西都脆弱，很容易暴露于攻擊者。為了維護(hù)操作系統(tǒng)和MySQL服務(wù)器，你可以使用以下方法：

2.1 主機(jī)數(shù)據(jù)庫(kù)服務(wù)器和web服務(wù)器分別在不同的物理機(jī)器上，如果可能，在一個(gè)單獨(dú)的服務(wù)器上運(yùn)行數(shù)據(jù)庫(kù)服務(wù)器，以預(yù)防由其他應(yīng)用程序或服務(wù)的漏洞造成的服務(wù)器問(wèn)題。

安裝殺毒軟件，防火墻以及所有推薦的補(bǔ)丁和更新，防火墻能有效地把流量過(guò)濾到MySQL服務(wù)器。為了更好的提高安全性，你還可以實(shí)行入口封鎖。

禁用所有不必要的服務(wù)，而且這樣的服務(wù)越少越好。

2.2 保護(hù)所有帳戶和密碼

攻擊者侵入MySQL數(shù)據(jù)庫(kù)最常見(jiàn)的一種方法是竊取有安全隱患的賬戶信息。為了降低出現(xiàn)這種風(fēng)險(xiǎn)的可能性，你不妨試一試下面的方法：

2.2.1. 給所有MySQL賬戶設(shè)置密碼

客戶程序并不是每次都能識(shí)別用戶，因此，如果用戶知道數(shù)據(jù)庫(kù)名但是沒(méi)有這個(gè)用戶名的密碼，那他可以指定任何其他用戶名連接到MySQL數(shù)據(jù)庫(kù)。讓每個(gè)MySQL用戶名都設(shè)置密碼，這樣一來(lái)，要想利用匿名賬戶建立連接將會(huì)變得很困難。

2.2.2. 不要使用根用戶運(yùn)行MySQL服務(wù)器

在安裝MySQL的時(shí)候，默認(rèn)情況下創(chuàng)建了一個(gè)命名為“root”的管理用戶。每個(gè)人都知道這一點(diǎn)，所以攻擊者通常試圖侵入這個(gè)“root”用戶來(lái)獲取訪問(wèn)權(quán)限。為了保障這個(gè)重要帳戶的安全，你需要給它重新命名，然后更改一個(gè)長(zhǎng)并且復(fù)雜的密碼。

2.2.3你可以在MySQL控制臺(tái)使用mysql RENAME USER root TO new_username;

指令給根用戶重命名，使用mysql SET PASSWORD FOR 'username'@'%hostname' =

PASSWORD('newpassword');//這是很重要的一條命令

指令來(lái)修改密碼。

三. 減少管理員賬戶

管理員賬戶越多，風(fēng)險(xiǎn)越大，所以你應(yīng)該保持盡可能最少的帳戶數(shù)量，只有為那些真正需要它的人創(chuàng)建賬戶。此外，記得要?jiǎng)h除未使用的和匿名的賬戶。如果你有很多管理員賬戶，那你需要定期檢查并清理那些不必要的賬戶。

四. 加強(qiáng)所有的密碼

除了管理員帳戶，你還需要加強(qiáng)所有其他用戶的密碼。你可以檢查所有的用戶名和密碼，必要的時(shí)候你還可以重置安全強(qiáng)度低的賬戶密碼。雖說(shuō)這樣做會(huì)有點(diǎn)費(fèi)時(shí)，但卻是有必要的。

五 限制數(shù)據(jù)庫(kù)權(quán)限

每個(gè)用戶都應(yīng)該被授予適當(dāng)?shù)臋?quán)限以便數(shù)據(jù)庫(kù)能夠正常運(yùn)行，但這樣一來(lái)也加大了數(shù)據(jù)庫(kù)的安全隱患。就數(shù)據(jù)庫(kù)權(quán)限而言，我們有以下幾點(diǎn)建議：

5.1. 不要授予非管理員用戶文件/高級(jí)/程序權(quán)限

文件，高級(jí)和程序權(quán)限都不應(yīng)該被濫用。文件權(quán)限讓用戶可以在文件系統(tǒng)中的任何一個(gè)地方編寫(xiě)文件，而程序權(quán)限讓用戶在任何時(shí)候都能夠查看服務(wù)器活動(dòng)，終止客戶端連接甚至更改服務(wù)器操作。為了你的數(shù)據(jù)庫(kù)安全，這些權(quán)限只能授予給管理員賬戶。

5.2. 限制或禁用顯示數(shù)據(jù)庫(kù)權(quán)限

顯示數(shù)據(jù)庫(kù)特權(quán)可以用于收集數(shù)據(jù)庫(kù)信息，所以攻擊者通常利用它來(lái)竊取數(shù)據(jù)并準(zhǔn)備進(jìn)一步攻擊。你應(yīng)該把這個(gè)權(quán)限授予那些真正需要的人，或者直接禁用這個(gè)權(quán)

限，你只需要把skip-show-database添加到MySQL數(shù)據(jù)庫(kù)中的/etc/my點(diǎn)吸煙 f配置文件中。對(duì)于Windows操作系統(tǒng)來(lái)說(shuō)，則

需要添加到my.ini文件中。

5.3. 限制管理員和所有其他用戶的權(quán)限

即使是管理員，也不要在同一賬戶中授予所有權(quán)限。因此我們建議你最好降低管理員賬戶訪問(wèn)數(shù)據(jù)的權(quán)限。至于其他的用戶，你最好檢查所有他們擁有的權(quán)限，以確保一切都是合適的。

六 刪除風(fēng)險(xiǎn)組件

MySQL數(shù)據(jù)庫(kù)的默認(rèn)配置有一些不必要的組件，你可以考慮以下建議：

6.1. 禁用LOAD DATA LOCAL INFILE指令

這個(gè)命令允許用戶讀取本地文件甚至訪問(wèn)其他操作系統(tǒng)上的文件，這可能幫助攻擊者收集重要的信息并利用應(yīng)用程序的漏洞侵入你的數(shù)據(jù)庫(kù)。你需要做的是把set-variable=local-infile=0插入到MySQL數(shù)據(jù)庫(kù)的my點(diǎn)吸煙 f文件中，來(lái)禁用這個(gè)指令。

6.2. 刪除測(cè)試數(shù)據(jù)庫(kù)

有一個(gè)默認(rèn)的“測(cè)試”數(shù)據(jù)庫(kù)用于測(cè)試目的。由于這個(gè)數(shù)據(jù)庫(kù)有安全風(fēng)險(xiǎn)，匿名用戶也可以訪問(wèn)，你應(yīng)該使用mysql DROP database test;指令盡快把它清除掉。

6.3. 刪除歷史文件

MySQL服務(wù)器有一個(gè)歷史文件，它可以幫助你在安裝出錯(cuò)的時(shí)候找到問(wèn)題所在。歷史文件包含敏感信息，比如說(shuō)密碼，如果這些信息被攻擊者獲得，那么將會(huì)給

你的數(shù)據(jù)庫(kù)帶來(lái)巨大的安全隱患。在安裝成功后，歷史文件并沒(méi)有什么用，因此你可以使用cat /dev/null

~/.mysql_history指令來(lái)刪除文件當(dāng)中的內(nèi)容。

七 限制遠(yuǎn)程訪問(wèn)MySQL服務(wù)器

對(duì)于大多數(shù)用戶來(lái)說(shuō)，不需要通過(guò)不安全的開(kāi)放網(wǎng)絡(luò)來(lái)訪問(wèn)MySQL服務(wù)器。你可以通過(guò)配置防火墻或硬件，或者迫使MySQL只聽(tīng)從localhost來(lái)限制主機(jī)。此外，需要SSH隧道才能進(jìn)行遠(yuǎn)程訪問(wèn)。

八 如果你想僅僅從本地主機(jī)來(lái)限制用戶建立連接，你需要在在配置文件中添加bind-address=127.0.0.1。

8.1利用日志記錄

啟用日志記錄讓你可以檢測(cè)服務(wù)器上的活動(dòng)，這樣你就可以分析失敗的登錄嘗試和敏感文件的訪問(wèn)記錄，以便了解是否存在向你的服務(wù)器和數(shù)據(jù)庫(kù)發(fā)起的惡意活動(dòng)。

你只需要把log =/var/log/mylogfile指令添加到MySQL配置文件中，就可以手動(dòng)啟用日志記錄功能。

8.2至于日志記錄，需要注意以下兩點(diǎn)：

8.2.1日志記錄僅適用于查詢數(shù)量有限的數(shù)據(jù)庫(kù)服務(wù)器。對(duì)于信息量大的服務(wù)器，這可能會(huì)導(dǎo)致高過(guò)載。

8.2.2由于“hostname.err”文件包含敏感數(shù)據(jù)表名和密碼，只有“root”和“mysql”才有訪問(wèn)和記錄這個(gè)文件的權(quán)限。