千萬級數(shù)據(jù)并發(fā)如何處理？進入學(xué)習(xí)

長期以來，數(shù)據(jù)庫一直是你的平衡架構(gòu)的重要組成部分，并且可以說是最重要的部分。如今，壓力已經(jīng)朝向你的大部分一次性和無狀態(tài)的基礎(chǔ)設(shè)施，這給你的數(shù)據(jù)庫帶來了更大的負擔(dān)，既要可靠又安全，因為所有其他服務(wù)器不可避免地會連同其余數(shù)據(jù)一起在數(shù)據(jù)庫中存儲有狀態(tài)信息。

你的數(shù)據(jù)庫是每個攻擊者想要獲取的大獎。隨著攻擊變得更加復(fù)雜和網(wǎng)絡(luò)變得更加敵對，采取額外步驟來強化數(shù)據(jù)庫比以往任何時候都更加重要。

MySQL 因其速度和整體易用性而成為開發(fā)人員和管理員最受歡迎和喜愛的數(shù)據(jù)庫。不幸的是，這種易用性是以犧牲安全為代價的。即使 MySQL 可以配置有嚴格的安全控制，你的普通默認 MySQL 配置可能不會使用它們。在本文中，我將介紹強化 MySQL 數(shù)據(jù)庫應(yīng)采取的五個重要步驟。

第一步：設(shè)置強密碼

對于所有數(shù)據(jù)庫用戶來說，使用強密碼很重要。鑒于大多數(shù)人不會經(jīng)常手動登錄數(shù)據(jù)庫，請使用密碼管理器或命令行工具 pwgen 為你的數(shù)據(jù)庫帳戶創(chuàng)建一個隨機的 20 個字符的密碼。即使你使用額外的 MySQL 訪問控制來限制特定帳戶可以登錄的位置（例如將帳戶嚴格限制為 localhost），這依然很重要。

設(shè)置密碼的最重要的 MySQL 帳戶是 root 用戶。默認情況下，在許多系統(tǒng)中，該用戶沒有密碼。特別是，基于 Red Hat 的系統(tǒng)在安裝 MySQL 時不會設(shè)置密碼；雖然基于 Debian 的系統(tǒng)會在交互式安裝期間提示您輸入密碼，但非交互式安裝（就像您可能使用配置管理器執(zhí)行的那樣）會跳過它。此外，你仍然可以在交互式安裝期間跳過設(shè)置密碼。

你可能認為讓 root 用戶不輸入密碼并不是什么大的安全風(fēng)險。畢竟，用戶設(shè)置為 “root@localhost”，你可能認為這意味著你必須先 root 計算機，然后才能成為該用戶。不幸的是，這意味著任何可以從 localhost 觸發(fā) MySQL 客戶端的用戶都可以使用以下命令以 MySQL root 用戶身份登錄：

*$ mysql — user root*

因此，如果你不為 root 用戶設(shè)置密碼，那么任何能夠在您的 MySQL 機器上獲得本地 shell 的人現(xiàn)在都可以完全控制你的數(shù)據(jù)庫。

要修復(fù)此漏洞，請使用 mysqladmin 命令為 root 用戶設(shè)置密碼：

$ sudo mysqladmin password

不幸的是，MySQL 以 root 用戶身份運行后臺任務(wù)。一旦你設(shè)置了密碼，這些任務(wù)就會中斷，除非采取額外的步驟將密碼硬編碼到 /root/.my.cnf 文件中：

[mysqladmin] user = rootpassword = yourpassword

但是，這意味著你必須將密碼以純文本形式存儲在主機上。但是你至少可以使用 Unix 文件權(quán)限將對該文件的訪問限制為僅 root 用戶：

sudo chown root:root /root/.my.cnf sudo chmod 0600 /root/.my.cnf

第二步：刪除匿名用戶

匿名帳戶是既沒有用戶名也沒有密碼的 MySQL 帳戶。你不希望攻擊者在沒有密碼的情況下對你的數(shù)據(jù)庫進行任何形式的訪問，因此請在此命令的輸出中查找使用空白用戶名記錄的任何 MySQL 用戶：

> SELECT Host, User FROM mysql.user; + — — — — — — — — — — — — + — — — -+ | Host | User | + — — — — — — — — — — — — + — — — -+ | 127.0.0.1 | root | | ::1 | root | | localhost | | | localhost | root | + — — — — — — — — — — — — + — — — -+ 4 rows in set (0.00 sec)

在這些根用戶中間有一個匿名用戶（ localhost ），它在 User 列中為空。你可以使用下面命令清除特定的匿名用戶：

> drop user ""@"localhost"; > flush privileges;

如果你發(fā)現(xiàn)任何其他匿名用戶，請確保將其刪除。

第三步：遵循最小特權(quán)原則

最小特權(quán)原則是一項安全原則，可以總結(jié)如下：

只為賬戶提供執(zhí)行作業(yè)所需的訪問權(quán)限，而不提供