4.2.2 Як убезпечити MySQL від хакерів
При підключенні до сервера MySQL використовується, як правило, пароль. По лінії зв'язку пароль не передається у вигляді відкритого тексту, але алгоритм шифрування не дуже складний. Тлумачний хакер, якщо йому вдасться перехопити трафік між клієнтом і сервером, при певній наполегливості може зламати пароль. Тому якщо зв'язок між клієнтом і сервером здійснюється по ненадійною мережі, для шифрування зв'язку слід використовувати SSH-тунель.
Якщо ви використовуєте MySQL 4.0, то можете також використовувати передбачену в цій версії підтримку протоколу OpenSSL. Зверніться до розділу See section 4.3.9 Використання безпечних з'єднань.
Для забезпечення безпеки MySQL-системи необхідно строго дотримуватися наступних рекомендацій:
- У всіх користувачів MySQL повинні бути паролі. Для додатків клієнт / сервер є загальноприйнятим, що клієнт може вказувати будь-яке ім'я користувача, але якщо для other_user не заданий пароль, то будь-хто може зайти під будь-яким ім'ям, просто ввівши mysql -u other_user db_name. Щоб цього уникнути, можна змінити пароль для всіх користувачів, відредагувавши скрипт mysql_install_db перед запуском програми, або тільки пароль для root-користувачів MySQL, як це показано нижче:
- Не заводьте демон MySQL від імені користувача Unix root. Це дуже небезпечно, тому що будь-який користувач, який має привілей FILE. буде в змозі створювати файли як користувач root (наприклад
It really should be pointed out that running mysqld as nobody is almost
as bad as running it as root. Toss in e.g. apache run as nobody and
anyone who can execute CGI programs can do whatever he wants to
your database. Hooray.