浅谈MySQL的安全机制

1、浅谈MySQL的平安机制摘要：基于当今计算机网络中资源共享中信息平安性存在的隐患，数据库系统中主要的网络数据库系统ysql的基于授权表的平安机制，以及如何在应用中就文件系统保护、口令保护、权限表设置和运行选项的采用来进步平安性能的问题。关键词：网络平安性内部平安性外部平安性ysql权限系统ysql作为一种快速、多用户、多线程的sql数据库效劳器，可以通过inteet方便地获取和晋级，属免费软件，这使它成为b/s系统开发的首选数据库。作为一个网络数据库，其平安性尤其重要。作为ysql管理员有责任保证数据库系统、内容的平安性，使得这些数据记录只能被正确授权的用户访问，这涉及到数据库系统的内部平安性

2、和外部平安性，内部平安性关心的是文件系统的问题，外部平安性关心的是外部通过网络连接效劳器的客户问题。ysql有一套先进但非标准的平安，权限机制。1网络平安性1.1物理划分为进步数据库平安，可以通过物理介质和对应的软件将inteet访问ysql划分为假设干区域，包括内网机制、中介机制和外网机制。访问的整体途径如图1所示。在建立数据库时，将数据库建立在一个小型内网范围内，为防止空间浪费，可以同时放置多个数据库。在内网与外网之间建立中介机制，作为内网和外网的连接区和隔离带。无论从外网访问数据库或从内网访问数据库，均须先访问这个中介机制，待中介机制进展信息处理后才能施行访问。中介机制为一个独立的设置，

3、既与内网和外网互相联络，又有相对的独立性。1.2内网机制在内网中放置数据库，需要增加相关平安插件才能保障数据库在内网中的平安，以正确地对数据库执行查询、显示、修改、编辑、删除等操作。在连接数据库过程中，增加限制用户机制，给内网配置一个普通用户id，给予访问数据库的权限，每次中介机制转接进来的恳求都通过这个id登陆数据库进展相关操作。增加密码管理工具，参加数据库密码修改(在ysql/bin):ysqladin-u用户名-p旧密码passrd新密码，在相应间隔时间内执行，如图2所示。为保证数据的平安性，可以通过启动效劳器和停顿效劳器来阻止外部数据入侵，防止数据泄露。在内网得到恳求时，需要向数据库中

4、查询数据信息时执行插件启动数据库效劳器(ysqlserverstart)，在内网停顿对数据库的访问时，自动执行插件停顿效劳器ysqlserverstp。通过启动数据库效劳器之后的时间间隔，建立自动备份系统，以及时备份录入和更改的数据。1.3中介机制通过在内网中设置中介机制，防止外网用户直接得到数据库使用权限，隔绝外网用户使用触发器来制造数据库后门，而留下数据平安隐患。在中介机制中设置自动判断数据机制和内外网的连接机制，如图3所示。1.4外网机制ysql被广泛地应用在internet上的中小型网站中，因此出现了通过远程网络访问数据库中的共享资源，但是基于对数据库中信息的平安保护，外网那么被中介机

5、制和内网机制与数据库隔离，不可以直接连接数据库，以确保数据库的平安，是以外网机制最为简单，只负责接收和发送。在网络访问ysql过程中三个阶段虽然会延长访问数据库的时间，但是在现今数据的高效性下，照旧可以弥补这一缺点，同时可以到达极大程度的进步网络中访问数据库时对数据的平安保护。2内部平安性在ysql中，一个数据库包括存放用户权限信息的ysql库对应着文件系统的一个目录，数据库中的表那么对应着此目录中3个后缀分别为fr、yd、yi的与表同名的文件，而这些文件可直接转移到其它ysql效劳器的数据目录下，所以对于数据文件系统的保护也就是数据平安的重要一环。3外部平安性3.1密码的保护当客户想要登陆一

6、个ysql效劳器时，ysql客户程序一般要求客户指定连接参数：想要联接的主机、用户名和口令。假设连接参数以多种方法被指定，在命令行上被指定的值优先于在配置文件和环境变量中指定的值，而在配置文件指定的值优先于在环境变量中指定的值。无论哪种方式的连接，其参数指定，重点在于密码的保护。1)防止在命令行中输入明文显示的口令。2)防止配置文件是全体或组可读的。当采用非交互式方式登陆效劳器时，需要事先在配置文件中存储口令，已备系统登陆时调用。3)防止在环境变量ysqlpd中存储口令。4)防止口令明文在命令行中出现、在连接上传输。总之，最平安的方法是让客户程序提示口令或在一个受保护的文件中指定口令。3.2权

7、限系统的设置保护ysql的平安权限控制信息主要存放在ysql库user、db、hst表中，这3个表中字段分为范围字段和权限字段。ysql存取权限控制包含2个阶段。1)效劳器验证客户的身份，确定是否允许连接。客户的身份是根据客户连接的主机、指定的用户名和密码来惟一确定的。当客户试图连接一个ysql效劳器时，效劳器会用ysql库中user表的3个字段(hst、user、passrd)检查客户的身份，假设与user表中的某一条记录完全匹配，ysql承受这次连接；假设匹配多条记录，将以ysql对user表读入时排序的顺序阅读条目，第一个匹配的条目被使用；否那么终止这个连接恳求。2)假定能连接，效劳器检

8、查客户发出的每个恳求，看是否有足够的权限施行它。阶段2中恳求确认是由被存储在ysql数据库中user、db、hst、ta2blespriv和lunspriv授权表中的权限内容来验证的。ysql的平安，权限系统是很灵敏的，它允许以多种不同的方式设置用户权限：既可以使用标准的sql语句rant和revke来修改授权表，也可以用update、in-sert等语句直接修改授权表。在ysql启动时和在权限修改生效时，效劳器读一文些数据表内容。4ysql、系统的作用ysql权限系统的主要功能是验证连接到一台ysql效劳器主机的一个用户是否合法，并且赋予该用户在一个数据库表上读娶插入、更新、删除记录的权限。

9、另外，还有是否允许匿名访问数据库，以及是否允许从外部文件批量向数据表中追加记录等操作的才能。ysql提供以下权限：1)selet、insert、update和delete权限允许用户在一个数据库现有的表上施行读娶插入、更新、删除记录的操作。2)index权限允许用户在数据表上建立或删除索引。3)alter权限允许用户使用altertable命令来修改现有数据表的构造。4)reate和drp权限允许创立新的数据库和表，或删除现存的数据库和表。注意：假设将ysql数据库的drp权限授予一个用户，该用户能删除存储了ysql系统权限的数据库！5)grant权限允许用户把自己拥有的权限授予其它的用户。6

10、)file权限允许被授予该权限的用户都能读或写ysql效劳器能读或写的任何文件。7)relad权限允许用户使用relad命令通知ysql效劳器再次读入授权表；使用refresh命令刷新所有表、翻开和关闭日志记录文件。8)shutdn权限允许用户使用shutdn命令关掉效劳器。9)press权限允许用户使用。presslist命令显示在效劳器内执行的进程的信息；使用kill命令杀死效劳器进程。用户总是能显示或杀死自己的进程，但是，显示或杀死其它用户启动的进程需要press权限。5ysql权限更改后的生效ysqld启动时将所有的授权表内容读入内存，所以任何权限都会在这时生效。效劳器启动后，修改的权

11、限何时生效：1)用grant、revke或setpassrd语句对授权表实行的修改会立即生效。2)假设使用insert、update等语句手工修改授权表，权限不会立即生效，而是在下一次启动效劳器时生效。假设想使修改的权限立即生效，应该执行flushprivilees语句或运行ysqladinflush-privileges或ysqladinrelad告诉效劳器重新装载授权表。3)当效劳器注意到授权表更改时，对已经存在的用户连接有以下影响：表和列权限的修改，在用户的下一次恳求时生效；数据库权限的修改，在下一个执行usedb-nae命令时生效。4)全局权限的修改和口令的修改，在下一次用户连接时生效。6小结ysql作为被广泛采用的网络数据库，它具有先进但非标准的平安权限机制，这就要求系统管理员在他的平安性规划方面不能完全遵循常规，但假设做好文件系统保护、口令保护和权限表的设置，一样可以使数据系统、数据处于平安的境地。