在實(shí)際生產(chǎn)環(huán)境中，應(yīng)按照軟件安全設(shè)計(jì)的「最小特權(quán)原則」設(shè)置MySQL的文件權(quán)限。

• MySQL「安裝目錄」的屬主和屬組需要設(shè)置成mysql用戶；
• MySQL的「歷史操作文件」、「歷史命令文件」、「數(shù)據(jù)物理存儲(chǔ)文件」只給屬主用戶讀寫(xiě)權(quán)限；
• MySQL的「配置文件」只給屬主用戶讀寫(xiě)權(quán)限，屬組和其他用戶給只讀權(quán)限。

依次執(zhí)行下列命令，檢查權(quán)限是否符合要求：

• ll ~/.mysql_history ~/.bash_history 權(quán)限600
• ll /etc/my.cnf 權(quán)限644
• find / -name *.ibd | xargs ls -al 權(quán)限600
• find / -name *.MYD | xargs ls -al 權(quán)限600
• find / -name *.MYI| xargs ls -al 權(quán)限600
• find / -name *.frm| xargs ls -al 權(quán)限600

接下來(lái)給大家解釋一下這些文件都是干嘛的。

1、數(shù)據(jù)庫(kù)配置文件

/etc/my.cnf 是MySQL數(shù)據(jù)庫(kù)「配置文件」，為了防止未授權(quán)篡改，應(yīng)設(shè)置權(quán)限為 644。

ll /etc/my.cnf 檢查配置文件權(quán)限：

/etc/my.cnf 默認(rèn)有以下字段：

• datadir：數(shù)據(jù)庫(kù)目錄
• socket：MySQL客戶端程序與服務(wù)端通信的套接字文件
• log-error：日志位置
• pid-file：存放MySQL進(jìn)程id的文件

2、數(shù)據(jù)存儲(chǔ)文件

MySQL每創(chuàng)建一個(gè)「表」，都會(huì)在數(shù)據(jù)庫(kù)目錄下創(chuàng)建一個(gè)「二進(jìn)制文件」，用來(lái)存儲(chǔ)表中的「數(shù)據(jù)」。

下圖中可以看到，除了information_schema 和 performance_schema ，每個(gè)數(shù)據(jù)庫(kù)都對(duì)應(yīng)一個(gè)目錄，目錄下存放這個(gè)數(shù)據(jù)庫(kù)的表文件。

MySQL8.0以前，數(shù)據(jù)存儲(chǔ)文件統(tǒng)一用 .frm 擴(kuò)展名。

MySQL8.0以后，不同的數(shù)據(jù)庫(kù)引擎，保存文件的擴(kuò)展名不一樣。

• InnoDB：獨(dú)享表空間用 .idb，一個(gè)表對(duì)應(yīng)一個(gè)文件；共享表空間用 .ibdata，多個(gè)表公用一個(gè)文件。
• MyISAM：表的數(shù)據(jù)用 .MYD；表的索引用 .MYI。
• Archive： .arc
• CSV： .csv

查看支持的引擎 show engines;，default表示默認(rèn)，正在使用的引擎。

為了防止未授權(quán)訪問(wèn)和篡改，數(shù)據(jù)存儲(chǔ)文件的權(quán)限應(yīng)配置為 600。

檢查數(shù)據(jù)庫(kù)文件的權(quán)限：

• find / -name *.ibd | xargs ls -al
• find / -name *.MYD | xargs ls -al
• find / -name *.MYI| xargs ls -al
• find / -name *.frm| xargs ls -al

3、歷史操作文件

~/.mysql_history 和 ~/.bash_history 分別存儲(chǔ)MySQL「歷史操作命令」和「系統(tǒng)歷史命令」。

為了防止未授權(quán)訪問(wèn)和篡改，應(yīng)將文件權(quán)限配置為 600。

ll ~/.mysql_history ~/.bash_history

以上就是MySQL文件權(quán)限存在的安全問(wèn)題和解決方案的詳細(xì)內(nèi)容，更多關(guān)于MySQL文件權(quán)限的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

最新評(píng)論