继上篇博客记录了服务器的初始化安全设置之后,本篇文章会记录Mysql数据库的初始化安全设置。在操作mysql之前,最好先行备份,毕竟有“备”无患嘛。
在Ubuntu16.04版本的服务器上,如果安装mysql的话会要求大家设置root的密码,若是没有设置过root用户的密码,可以用下面三种方法来这是
mysqladmin -u root password 123456 // 设置mysql管理员root的密码为123456
mysql> set password for root@localhost=password('123456');
mysql> use mysql;
mysql> update user set password=password('123456') where user='root';
mysql> flush privileges;
这就是三种修改mysql中管理员口令的操作方式。
mysql初始化后会自动生成空用户和test库,但实际上这样会留有安全隐患,所以我们在这里选择全部删除的操作。我们在命令行进入mysql后执行下面这些命令。
mysql> drop database test;
mysql> use mysql;
mysql> delete from db;
mysql> delete from user where not(host="localhost" and user="root");
mysql> flush privileges;
因为默认的管理员名称是root,为了防止别人对root这个登录名进行暴力破解,我们最好也能把root用户的名称改掉,防止穷举破解。
同样的执行下面的操作就能修改用户名,这个例子里我们把数据库管理员root的名称改为original。
mysql> use mysql;
mysql> update user set user="original" where user="root";
mysql> flush privileges;
正常的话我们的mysql只是后端的程序来进行连接,所以我们无需开启socket进行监听,那么我们可以关闭mysql的监听功能。
我们可以针对每个库,创建特定的账户,给予这些账户针对某个库有 update、select、delete、insert、drop table、create table等权限。这样就能很好的避免某个库被攻破后不牵连其他库了。而当我们设置完善之后,最好就不要在使用root用户来访问数据库了。
执行以上的命令会被shell记录在历史文件里,比如bash会写入用户目录的.bash_history文件,如果这些文件不慎被读, 那么数据库的密码就会泄漏。用户登陆数据库后执行的SQL命令也会被MySQL记录在用户目录的.mysql_history文件里。 如果数据库用户用SQL语句修改了数据库密码,也会因.mysql_history文件而泄漏。所以我们在shell登陆及备份的时候 不要在-p后直接加密码,而是在提示后再输入数据库密码。 另外这两个文件我们也应该不让它记录我们的操作,以防万一。
$ rm .bash_history .mysql_history
$ ln -s /dev/null .bash_history
$ ln -s /dev/null .mysql_history
我自己常用的就是这六个步骤的设置,虽然不是很全,但是也勉强够用咯。