快速业务通道

MySQL数据库的授权原则

作者 佚名技术 来源 NET编程 浏览 发布时间 2012-03-18
密码。

关于用户、口令及主机的设置

·对所有MySQL用户使用口令。

记住,如果other_user没有口令,任何人能简单地用mysql -u other_user db_name作为任何其它的人登录。对客户机/服务器应用程序,客户可以指定任何用户名是常见的做法。在你运行它以前,你可以通过编辑 mysql_install_db脚本改变所有用户的口令,或仅仅MySQL root的口令,象这样:

shell> mysql -u root mysql
mysql> UPDATE user SET Password=PASSWORD(''new_password'')
-> WHERE user=''root'';
mysql> FLUSH PRIVILEGES;


·删除匿名用户

匿名用户的存在不仅不仅容易引起存取拒绝错误,更会产生严重的安全漏洞,安装授权表后,自动安装匿名用户。缺省时你可以用任何用户名连接,不需要密码,并且具有修改授权表权限。

你可以这样删除匿名用户:

shell>mysql –u root –p mysql
mysql>delete from user where User=””;


·留意使用通配符的主机名,尽量缩小主机名的范围,适合用户的主机就足够了,不要让用户不使用的主机留在授权表里。

·如果你不信任你的DNS,你应该在授权表中使用ip数字而不是主机名。原则上讲,--secure选项对mysqld应该使主机名更安全。在任何情况下,你应该非常小心地使用包含通配符的主机名!

授予用户合适的权限

·授权用户足够使用的权限,不要赋予额外的权限。

例如,对于用户只需要检索数据表的需求,赋予SELECT权限即可,不可赋予UPDATE、INSERT等写权限,不要怕被说成时吝啬鬼。

·可能会产生安全漏洞的权限

grant权限允许用户放弃他们的权限给其他用户。2个有不同的权限并有grant权限的用户可以合并权限。

alter权限可以用于通过重新命名表来推翻权限系统。因为ALTER权限可能以你没有设想的任何方法被使用。例如,一个用户user1能访问table1,但不能访问table2。但是如果用户user1带有ALTER权限可能通过使用ALTER TABLE将table2重命名为table1来打乱你的设想。

shutdown权限通过终止服务器可以被滥用完全拒绝为其他用户服务 。

·可能会产生严重安全漏洞的权限

不要把PROCESS权限给所有用户。mysqladmin processlist的输出显示出当前执行的查询正文,如果另外的用户发出一个UPDATE user SET password=PASSWORD(''not_secure'')查询,被允许执行那个命令的任何用户可能看得到。mysqld为有process权限的用户保留一个额外的连接, 以便一个MySQL root用户能登录并检查,即使所有的正常连接在使用。

不要把FILE权限给所有的用户。有这权

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号