Mysql的安装/性能优化/安全加固


数据库版本:mysql-5.6.13

<pre>   aa<pre>

安装:
增加一个登录用户和群组#groupaddmysql
#useradd -r -g mysql mysql解压缩Mysql数据包
#tar-zxvf mysql-5.6.13.tar.gz进入Mysql解压缩目录

#cd mysql-5.6.13配置安装mysq

l#cmake.
#make &&make install建立配置文件
#cp./support-files/my-medium.cnf/etc/my.cnf修改相应文件的权限
#chown -R root:mysql  /usr/local/mysql

#chown -R  mysql  data初始化数据库
#scripts/mysql_install_db  --user=mysql调整lib库路径
#echo“/usr/local/mysql/lib/mysql”>>/etc/ld.so.conf

#ldconfig刷新文件路径
Mysql启动控制
#/usr/local/mysql/bin/mysqld_safe  --user=mysql  &将mysql添加为系统服务
#cpsupport-files/mysql.server  /etc/init.d/mysqld

#chmod +x /etc/init.d/mysqld

#chkconfig --add mysqld

#chkconfig mysqld on
设置mysql程序的执行路径
#exportPATH=$PATH:/usr/local/mysql/bin
#echo“PATH=$PATH:/usr/local/mysql/bin”>>/etc/profile
注意:在编译mysql源码时碰到如下错误
checkingfortermcapfunctionslibrary...configure:error:Nocurses/termcaplibraryfound
解决方法:./configure--with-named-curses-libs=/lib64/libncursesw.so.5

性能优化和安全加固:
1、修改root用户的的口令

缺省情况下MySQL没有设置密码,我们可以用三种方法设置密码头:*用mysqladmin命令来改root用户口令
#mysqladmin-urootpasswordecan5com//设置MySQL管理操作用户root的密码为P@ssw0rd
*用setpassword修改口令:
mysql>setpasswordforroot@localhost=password('P@ssw0rd');*直接修改user表的root用户口令mysql>usemysql;
mysql>updateusersetpassword=password('P@ssw0rd')whereuser='root';mysql>flushprivileges;
2、删除默认的数据库和用户
我们的数据库是在本地,并且也只需要本地的php脚本对mysql进行读取,所以很多用户不需要.mysql初始化后会自动生成空用户和test库,这会对数据库构成威胁,我们全部删除.我们使用mysql客户端程序连接到本地的mysql服务器后出现如下提示:mysql>dropdatabasetest;mysql>usemysql;
mysql>deletefromdb;
mysql>deletefromuserwherenot(host="localhost"anduser="root");mysql>flushprivileges;

3、改变默认mysql管理员的名称//仅为建议
根据个人习惯,因为默认的mysql的管理员名称是root,所以如果能够修改的话,能够防止一些脚本小子对系统的穷举.我们可以直接修改数据库,把root用户改为"admin".mysql>usemysql;
mysql>updateusersetuser="admin"whereuser="root";mysql>flushprivileges;
4、提高本地安全性
提高本地安全性,主要是防止mysql对本地文件的存取,比如黑客通过mysql把/etc/passwd获取了,会对系统构成威胁.mysql对本地文件的存取是通过SQL语句来实现,主要是通过LoadDATALOCALINFILE来实现,我们能够通过禁用该功能来防止黑客通过SQL注射等获取系统核心文件.禁用该功能必须在my.cnf的[mysqld]部分加上一个参数:set-variable=local-infile=0

5、禁止远程连接mysql
因为我们的mysql只需要本地的php脚本进行连接,所以我们无需开socket进行监听,那么我们完全可以关闭监听的功能.有两个方法实现:
*配置my.cnf文件,在[mysqld]部分添加skip-networking参数.
*mysqld服务器中参数中添加--skip-networking启动参数来使mysql不监听任何TCP/IP连接,增加安全性.如果要进行mysql的管理的话,可以在服务器本地安装一个phpMyadmin来进行管理.

6、控制数据库访问权限

对于使用php脚本来进行交互,最好建立一个用户只针对某个库有update、select、delete、insert、droptable、createtable等权限,这样就很好避免了数据库用户名和密码被黑客查看后最小损失.比如下面我们创建一个数据库为db1,同时建立一个用户test1能够访问该数据库.
mysql>createdatabasedb1;
mysql>grantselect,insert,update,delete,create,dropprivilegesondb1.*totest1@localhostidentifiedby'admindb';
以上SQL是创建一个数据库db1,同时增加了一个test1用户,口令是admindb,但是它只能从本地连接mysql,对db1库有select,insert,update,delete,create,drop

7、限制一般用户浏览其他用户数据库
如果有多个数据库,每个数据库有一个用户,那么必须限制用户浏览其他数据库内容,可以在启动MySQL服务器时加--skip-show-database启动参数就能够达到目的.
忘记mysql密码的解决办法,如果不慎忘记了MySQL的root密码,我们可以在启动MySQL服务器时加上参数--skip-grant-tables来跳过授权表的验证:./safe_mysqld--skip-grant-tables&
这样我们就可以直接登陆MySQL服务器,然后再修改root用户的口令,重启MySQL就可以用新口令登陆了.

8、数据库文件的安全
我们默认的mysql是安装在/usr/local/mysql目录下的,那么对应的数据库文件就是在/usr/local/mysql/var目录下,那么我们要保证该目录不能让未经授权的用户访问后把数据库打包拷贝走了,所以要限制对该目录的访问.我们修改该目录的所属用户和组是mysql,同时改变访问权限:
#chown-Rmysql.mysql/usr/local/mysql/var#chmod-Rgo-rwx/usr/local/mysql/var

9、删除历史记录
执行以上的命令会被shell记录在历史文件里,比如bash会写入用户目录的.bash_history文件,如果这些文件不慎被读,那么数据库的密码就会泄漏.用户登陆数据库后执行的SQL命令也会被MySQL记录在用户目录的.mysql_history文件里.
如果数据库用户用SQL语句修改了数据库密码,也会因.mysql_history文件而泄漏.所以我们在shell登陆及备份的时候不要在-p后直接加密码,而是在提示后再输入数据库密码.另外这两个文件我们也应该不让它记录我们的操作,以防万一.#rm.bash_history.mysql_history#ln-s/dev/null.bash_history#ln-s/dev/null.mysql_history

对于使用php脚本来进行交互,最好建立一个用户只针对某个库有update、select、delete、insert、droptable、createtable等权限,这样就很好避免了数据库用户名和密码被黑客查看后最小损失.比如下面我们创建一个数据库为db1,同时建立一个用户test1能够访问该数据库.
mysql>createdatabasedb1;
mysql>grantselect,insert,update,delete,create,dropprivilegesondb1.*totest1@localhostidentifiedby'admindb';
以上SQL是创建一个数据库db1,同时增加了一个test1用户,口令是admindb,但是它只能从本地连接mysql,对db1库有select,insert,update,delete,create,drop操作权限.7、限制一般用户浏览其他用户数据库
如果有多个数据库,每个数据库有一个用户,那么必须限制用户浏览其他数据库内容,可以在启动MySQL服务器时加--skip-show-database启动参数就能够达到目的.
忘记mysql密码的解决办法,如果不慎忘记了MySQL的root密码,我们可以在启动MySQL服务器时加上参数--skip-grant-tables来跳过授权表的验证:./safe_mysqld--skip-grant-tables&
这样我们就可以直接登陆MySQL服务器,然后再修改root用户的口令,重启MySQL就可以用新口令登陆了.
8、数据库文件的安全
我们默认的mysql是安装在/usr/local/mysql目录下的,那么对应的数据库文件就是在/usr/local/mysql/var目录下,那么我们要保证该目录不能让未经授权的用户访问后把数据库打包拷贝走了,所以要限制对该目录的访问.我们修改该目录的所属用户和组是mysql,同时改变访问权限:
#chown-Rmysql.mysql/usr/local/mysql/var#chmod-Rgo-rwx/usr/local/mysql/var
9、删除历史记录
执行以上的命令会被shell记录在历史文件里,比如bash会写入用户目录的.bash_history文件,如果这些文件不慎被读,那么数据库的密码就会泄漏.用户登陆数据库后执行的SQL命令也会被MySQL记录在用户目录的.mysql_history文件里.
如果数据库用户用SQL语句修改了数据库密码,也会因.mysql_history文件而泄漏.所以我们在shell登陆及备份的时候不要在-p后直接加密码,而是在提示后再输入数据库密码.另外这两个文件我们也应该不让它记录我们的操作,以防万一.#rm.bash_history.mysql_history#ln-s/dev/null.bash_history#ln-s/dev/null.mysql_history
10、其他
另外还可以考虑使用chroot等方式来控制mysql的运行目录,更好的控制权限,具体可以参考相关文章.my.cnf的调试参数.

11、快速修复MySQL数据库修复数据库

#mysqlcheck-A-o-r-p修复指定的数据库
#mysqlcheck-o-rDatabase_NAME -p

12、跟据内存的大小选择MySQL的负载
选择相应的文件名复制到/etc/my.cnf,如果是RPM包安装:/usr/share/doc/mysql-XXX/目录下有,如果是源代码编译安装:support-files/目录下有.
#cp/usr/local/share/mysql-***/my-large.cnf/etc/my.cnfmy-small.cnf#>my-medium.cnf#32M-64Mmy-large.cnf#memory=512Mmy-huge.cnf#1G-2G
my-innodb-heavy-4G.cnf#4GB

mysql批量删除表,相同前缀的表
mysql中没有现有的工具可以直接实现,所以原理就是使用现有的功能实现droptable的语句的自动拼写,从而达到简化目的。下边举例说明,如果想删除”wp_”开头的表:SelectCONCAT('droptable',table_name,';')FROMinformation_schema.tables
Wheretable_nameLIKE'XXX_%';

 

 

 

 

 


发表评论

登录 后发表评论.