MySQL数据库的其它安全问题

核心提示： 对于表文件的读访问也是很危险的，窃取文件并使MySQL以及以纯文本的形式显示表的内容是微不足道的事，MySQL数据库的其它安全问题(3)，可以按下列步骤进行：1、安装一个新的MySQL分发，可以是在另一台主机上，所有到mysqld的连接必须经由Unix套接字进行，这个选项对使用MIT-pt

对于表文件的读访问也是很危险的，窃取文件并使MySQL以及以纯文本的形式显示表的内容是微不足道的事。可以按下列步骤进行：

1、安装一个新的MySQL分发，可以是在另一台主机上，也可以就在当前的服务器主机上安装，使用与正式服务器不同的端口、套接字和数据文件。

2、将窃取的表的相应文件拷贝到新服务数据库目录中的test目录下

3、然后就可以启动作案服务器，可以随意访问所窃取表的内容。

在Unix设置合适的数据库目录权限

如果要消除这些安全漏洞，就要安排数据库目录及其中所有文件和目录的所有权，是的只有启动服务器的专用帐户才可以访问它们。操作步骤如下：

1、切换到root用户

$su

2、设置数据库目录及其中所有文件目录的所有权为运行该服务器的帐号所有，在本书中一直将这个帐号假定为mysql，把所有的组设为root组

%chown –R mysql:root DATADIR

3、修改数据库目录及其中所有文件目录的权限为只有所有者可以读写

%chmod –R go-rwx DATADIR

在NT系统中设置合适的数据库目录权限

在NT系统中的数据库目录的安全性可能比较简单：

读者可能想到，把所有目录文件改为只有某个帐户administrator例如可读写。但是，这样会有一个问题，就是这能在 administrator帐户中用手动启动独立的服务器，如果让mysql系统服务自动启动的方法也不可行，解决方法是让数据库目录也可被 administrators组用户读写，这样MySQL服务器就可以用系统服务的方法自动启动了，也可以在任何帐户中用net start mysql启动。

另外一个问题是，如果你在非administrators组用户中或者从网络都无法建立数据库连接，因为没有数据库目录的读的权利，如果要正常使用，还需要 写的权利。解决方法是让SYSTEM组用户能够队数据库目录读写。

由于许可证和费用的原因，通常建议你在Linux服务器上使用MySQL，在Windows平台之用来测试或者数据录入工作。但是，如果你要在Windows上使用的话，可以注意本小节的一些内容。

影响安全的mysqld选项

下列mysqld选项影响安全：

--secure

由gethostbyname()系统调用返回的IP数字被检查，确保他们解析回到原来的主机名。这对某些外人通过模仿其它主机获得存取权限变得更难。这个选项也增加一些聪明的主机名检查。在MySQL3.21里，选择缺省是关掉的，因为它有时它花很长时间执行反向解析。MySQL 3.22缓存主机名并缺省地启用了这个选项。

--skip-grant-tables

这个选项导致服务器根本不使用权限系统。这给每个人以完全存取所有的数据库的权力！（通过执行mysqladmin reload，你能告诉一个正在运行的服务器再次开始使用授权表。)

--skip-name-resolve

主机名不被解析。所有在授权表的Host的列值必须是IP数字或localhost。

--skip-networking

在网络上不允许TCP/IP连接。所有到mysqld的连接必须经由Unix套接字进行。这个选项对使用MIT-pthreads的系统是不合适的，因为MIT-pthreads包不支持Unix套接字。