MySQL cho Linux VPS: cách bảo mật hệ thống

Hệ thống quản lý cơ sở dữ liệu quan hệ mã nguồn mở này khá phổ biến trong số những hệ thống lưu trữ trang web. Nó miễn phí và cung cấp tất cả các tính năng cần thiết để chạy máy chủ và các ứng dụng liên quan.

Phần mềm này, giống như nhiều phần mềm khác, có các biện pháp bảo mật nhất định để bảo vệ nó khỏi các cuộc tấn công của vi-rút, phần mềm độc hại và tin tặc. Mặc dù hầu hết các cài đặt mặc định đều đạt yêu cầu, một số thay đổi nhất định có thể nhằm bảo mật chương trình này tốt hơn. Có một số bước mà mọi người dùng VPS Linux có thể thực hiện để cải thiện khả năng bảo vệ hệ thống MySQL của họ trước những kẻ xâm nhập.

1. THAY ĐỔI CÀI ĐẶT TỐI ƯU

Tốt nhất bạn nên bảo mật phần mềm trong quá trình cài đặt. Người dùng thường đặt mật khẩu mới cho tài khoản root bằng cách sử dụng tập lệnh “mysql_secure_installation”, vô hiệu hóa đăng nhập người dùng root từ xa và xóa tài khoản người dùng ẩn danh. Sau khi thiết lập ban đầu, bạn nên:

  • Yêu cầu tất cả tài khoản MySQL phải có mật khẩu. Chương trình không thể xác định người nào đang chạy nó. Bất cứ ai cũng có thể truy cập nó chỉ bằng cách gọi nó là “mysql -u other_user db_name” nếu “other_user” không có mật mã. Khi tất cả các tài khoản được bảo vệ bằng mật khẩu, việc kết nối thông qua chúng với hệ thống và thay đổi các tệp quan trọng đối với nó và VPS sẽ khó khăn hơn nhiều.
  • Không bao giờ chạy máy chủ MySQL với tư cách là người dùng gốc Unix. Bất kỳ người dùng nào có đặc quyền tệp đều có thể tạo tệp gốc, điều này gây nguy hiểm cho phần mềm. Mysqld nên được chạy như một người dùng bình thường, không có đặc quyền. Giảm thiểu rủi ro này bằng cách tạo một tài khoản Unix riêng và chỉ sử dụng nó để quản trị MySQL.
  • Mã hóa tệp nhật ký chuyển tiếp và nhị phân. Mã hóa bảo vệ dữ liệu nhạy cảm có trong những dữ liệu này khỏi bị xem trái phép và bị những kẻ tấn công tiềm ẩn lạm dụng. Để kích hoạt tính năng này trên phần mềm, hãy đặt biến “binlog_encryption” thành “ON”.

Những thay đổi đơn giản này sẽ đảm bảo khả năng bảo vệ tốt hơn cho MySQL cũng như các máy chủ và ứng dụng VPS Linux của bạn. Những người không mong muốn sẽ không thể truy cập và thay đổi bất kỳ dữ liệu nhạy cảm nào.

2. CÀI ĐẶT QUYỀN BỔ SUNG

Có một vài điều bổ sung mà người dùng có thể làm để bảo mật hệ thống này và nó liên quan đến quyền và đặc quyền. Bạn nên thực hành một vài phương pháp:

  • Không cấp đặc quyền xử lý hoặc tệp cho người dùng không phải quản trị viên. Bất kỳ người dùng nào có các quyền này đều có thể tạo và đọc các tệp trong hệ thống hoặc xem danh sách quy trình máy chủ và các câu lệnh do người khác đưa ra. Điều này rất nguy hiểm vì kẻ tấn công có thể dễ dàng lạm dụng quyền này để chấm dứt kết nối máy khách, thay đổi hoạt động của máy chủ, kiểm soát máy chủ sao chép, v.v.
  • Không cho phép sử dụng các liên kết tượng trưng đến các bảng. Vô hiệu hóa khả năng này với tùy chọn “—skip-symbolic-links”. Điều này rất quan trọng nếu mysqld được chạy với quyền root vì bất kỳ ai cũng có thể truy cập và ghi lại thư mục dữ liệu của máy chủ cũng như xóa bất kỳ tệp nào cần thiết cho hệ thống và máy chủ Linux VPS.

Những đặc quyền này chỉ nên được cấp cho một số lượng hạn chế người dùng đáng tin cậy để tránh bất kỳ cuộc tấn công hoặc xóa tệp tiềm ẩn nào.

Bảo mật chương trình MySQL khá dễ dàng hơn vẻ ngoài của nó, tất cả những gì cần làm chỉ là một vài thay đổi bổ sung đối với cài đặt mặc định. Chúng rất quan trọng đối với những người muốn tránh bất kỳ người không mong muốn nào truy cập, thay đổi hoặc xóa dữ liệu nhạy cảm và các tác vụ hệ thống quan trọng khác. Điều này đảm bảo bảo vệ tốt hơn cơ sở dữ liệu và các ứng dụng phụ thuộc vào chúng, như các hệ thống VPS Linux.

>>> Hướng dẫn optimize MySQL trên aaPanel

Leave a Reply