我要评论在实际生产环境中,应按照软件安全设计的「最小特权原则」设置mysql的文件权限。
- mysql「安装目录」的属主和属组需要设置成mysql用户;
- mysql的「历史操作文件」、「历史命令文件」、「数据物理存储文件」只给属主用户读写权限;
- mysql的「配置文件」只给属主用户读写权限,属组和其他用户给只读权限。
依次执行下列命令,检查权限是否符合要求:
- ll ~/.mysql_history ~/.bash_history 权限600
- ll /etc/my.cnf 权限644
- find / -name *.ibd | xargs ls -al 权限600
- find / -name *.myd | xargs ls -al 权限600
- find / -name *.myi| xargs ls -al 权限600
- find / -name *.frm| xargs ls -al 权限600
接下来给大家解释一下这些文件都是干嘛的。
1、数据库配置文件
/etc/my.cnf 是mysql数据库「配置文件」,为了防止未授权篡改,应设置权限为 644。
ll /etc/my.cnf 检查配置文件权限:
/etc/my.cnf 默认有以下字段:
- datadir:数据库目录
- socket:mysql客户端程序与服务端通信的套接字文件
- log-error:日志位置
- pid-file:存放mysql进程id的文件
2、数据存储文件
mysql每创建一个「表」,都会在数据库目录下创建一个「二进制文件」,用来存储表中的「数据」。
下图中可以看到,除了information_schema 和 performance_schema ,每个数据库都对应一个目录,目录下存放这个数据库的表文件。
mysql8.0以前,数据存储文件统一用 .frm 扩展名。
mysql8.0以后,不同的数据库引擎,保存文件的扩展名不一样。
- innodb:独享表空间用 .idb,一个表对应一个文件;共享表空间用 .ibdata,多个表公用一个文件。
- myisam:表的数据用 .myd;表的索引用 .myi。
- archive: .arc
- csv: .csv
查看支持的引擎 show engines;,default表示默认,正在使用的引擎。
为了防止未授权访问和篡改,数据存储文件的权限应配置为 600。
检查数据库文件的权限:
find / -name *.ibd | xargs ls -alfind / -name *.myd | xargs ls -alfind / -name *.myi| xargs ls -alfind / -name *.frm| xargs ls -al
3、历史操作文件
~/.mysql_history 和 ~/.bash_history 分别存储mysql「历史操作命令」和「系统历史命令」。
为了防止未授权访问和篡改,应将文件权限配置为 600。
ll ~/.mysql_history ~/.bash_history
以上就是mysql文件权限存在的安全问题和解决方案的详细内容,更多关于mysql文件权限的资料请关注代码网其它相关文章!
发表评论