数据库进阶——如何提升数据库的安全性,以MySQL和Redis加固为例

article/2024/4/13 14:41:06

在这里插入图片描述

目录

  • 引出
  • 数据库加固
    • 加固思路
    • MySQL
    • Redis
  • Redis冲冲冲——缓存三兄弟:缓存击穿、穿透、雪崩
    • 缓存击穿
    • 缓存穿透
    • 缓存雪崩
  • 总结

引出

数据库进阶——如何提升数据库的安全性,以MySQL和Redis加固为例


数据库加固

加固思路

  1. 账号配置
    • 应按照用户分配账号,避免不同用户间共享账号
    • 应删除或锁定与数据库运行、维护等工作无关的账号
    • 删除过期账号
  2. 权限配置
    • 在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限
  3. 口令安全
    • 对于采用静态口令进行认证的数据库,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类
  4. 日志配置
    • 数据库应配置日志功能,记录相关日志。
  5. 安全补丁
    • 在保证业务可用性的前提下,经过分析测试后,可以选择更新使用最新版本的补丁
  6. 访问控制
    • 通过数据库所在操作系统或防火墙限制,只有信任的IP地址才能通过监听器访问数据库

MySQL

  1. 账号配置

    • 删除不需要的数据库账号。

        DROP USER user
      
    • 应按照用户分配帐号,避免不同用户间共享帐号。

  2. 口令安全

    • 不使用默认密码和弱密码。

        #修改密码命令  mysql> UPDATE user set password=PASSWORD('test!p3’) WHERE user='root’;
      
  3. 权限配置

    • 禁止MySQL以系统管理员账号权限运行,使用非管理员专用账号来运行mysql服务。

      • Windows系统

        直接打开任务管理器,查看运行mysql进程的操作系统账号,不能为administrator账号

      • Linux系统

          #查看mysql服务的运行账号是否为root或其他高权限账号  ps -ef | grep mysql
        
    • 数据库账户权限配置

      MySQL数据库下的user表和db表中存放着可以授予数据库用户的权限,确保只有管理员账号才能访问所有数据库。可以访问mysql数据库的用户或许可以查看密码哈希值、修改用户权限等等。

        #查看数据库授权情况。  mysql> use mysql;  mysql> select * from user;  mysql> select * from db;  #授予指定用户权限指定表的权限  mysql> Grant select,insert,update,delete on tablename to ‘username’@’hostname’;
      

      外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

  4. 日志配置

    • 根据需求开启对应日志的审计功能。

        #开启错误日志审计,打开my.ini(Windows)或my.cnf(Linux),在[mysqld]下添加  log-error="/var/log/mysqld.log"
      
  5. 访问控制

    • 修改MySQL默认端口3306。

        #打开my.ini或者my.cnf,在[mysqld]下修改  port=3306        #修改成合适端口
      
    • 网络访问限制,在防火墙中做限制,只允许与指定的 IP 地址与3306端口(或MySQL数据库的指定端口)通讯。

        #创建指定IP的远程用户  mysql> GRANT ALL privileges on 库名.表名 to '用户名'@'IP地址' identified by '密码' with grant option;  mysql> flush privileges;
      
  6. 其他配置。

    • 安装最新的安全补丁日志,通过SELECT VERSION()查看版本。

Redis

  1. 口令配置

    • 开启redis密码,并设置高复杂度密码。

        #编辑redis.conf  requirepass test123!@#;
      
  2. 授权管理

    • 禁止使用root启动redis,使用普通账户启动redis。

    • 限制redis文件目录访问权限。

        $chmod 700 /var/lib/redis   #redis目录  $chmod 600 /etc/redis/redis.conf  #redis配置文件
      
    • 禁用或重命名危险命令。

        #在redis.conf配置文件添加  rename-command CONFIG CONFIG_1        #重命名命令CONFIGCONFIG_1          rename-command FLUSHDB ""              #禁用此命令
      
  3. 访问控制

    • 修改默认端口6379。

        #修改redis.conf配置文件:  port 5656
      
    • 配置redis仅监听在指定IP地址。

        #修改redis.conf配置文件:  bind 127.0.0.1 192.168.1.12
      

Redis冲冲冲——缓存三兄弟:缓存击穿、穿透、雪崩

缓存击穿

缓存击穿:redis中没有,但是数据库有

顺序:先查缓存,判断缓存是否存在;如果缓存存在,直接返回数据;如果缓存不存在,則查询数据库,将数据库的数据存入到缓存

在这里插入图片描述

解决方案:将热点数据设置过期时间长一点;针对数据库的热点访问方法上分布式锁;

缓存穿透

缓存穿透:redis中没有,数据库也没有

在这里插入图片描述

解决方案:

(1)将不存在的key,在redis设置值为null;

(2)使用布隆过滤器;

原理:https://zhuanlan.zhihu.com/p/616911933

在这里插入图片描述

布隆过滤器:

如果确认key不存在于redis中,那么就一定不存在;

它说key存在,就有可能存在,也可能不存在! (误差)

在这里插入图片描述

布隆过滤器

1、根据配置类中的 key的数量 ,误差率,计算位图数组【二维数组】

2、通过布隆过滤器存放key的时候,会计算出需要多少个hash函数,由hash函数算出多少个位图位置需要设定为1

3、查询时,根据对应的hash函数,判断对应的位置值是否都为1;如果有位置为0,则表示key一定不存在于该redis服务器中;如果全部位置都为1,则表示key可能存在于redis服务器中;

缓存雪崩

缓存雪崩:

Redis的缓存雪崩是指当Redis中大量缓存数据同时失效或者被清空时,大量的请求会直接打到数据库上,导致数据库瞬时压力过大,甚至宕机的情况。

造成缓存雪崩的原因主要有两个:

1.相同的过期时间:当Redis中大量的缓存数据设置相同的过期时间时,这些数据很可能会在同一时间点同时失效,导致大量请求直接打到数据库上。

2.缓存集中失效:当服务器重启、网络故障等因素导致Redis服务不可用,且缓存数据没有自动进行容错处理,当服务恢复时大量的数据同时被重新加载到缓存中,也会导致大量请求直接打到数据库上。

预防缓存雪崩的方法主要有以下几种:

1.设置不同的过期时间:可以将缓存数据的过期时间分散开,避免大量缓存数据在同一时间点失效。

2.使用加锁:可以将所有请求都先进行加锁操作,当某个请求去查询数据库时,如果还没有加载到缓存中,则只让单个线程去执行加载操作,其他线程等待该线程完成后再次进行判断,避免瞬间都去访问数据库从而引起雪崩。

3.提前加载预热:在系统低峰期,可以提前将部分热点数据加载到缓存中,这样可以避免在高峰期缓存数据失效时全部打到数据库上。

4.使用多级缓存:可以在Redis缓存之上再使用一层缓存,例如本地缓存等,当Redis缓存失效时,还能够从本地缓存中获取数据,避免直接打到数据库上。

在这里插入图片描述

本地缓存:ehcache oscache spring自带缓存 持久层框架的缓存


总结

数据库进阶——如何提升数据库的安全性,以MySQL和Redis加固为例


http://www.ngui.cc/article/show-1927604.html

相关文章

SMTP用户名是什么?怎样设置SMTP及用户名?

SMTP用户名和密码如何测试?SMTP服务器用户名是什么? SMTP用户名,则是我们在配置SMTP服务器时所需要的重要信息之一。那么,SMTP用户名究竟是什么呢?我们又该如何设置SMTP及用户名呢?下面,就让蜂…

【算法】二叉搜索树的插入、删除、转换操作

1 二叉搜索树的插入操作 给定二叉搜索树(BST)的根节点 root 和要插入树中的值 value ,将值插入二叉搜索树。 返回插入后二叉搜索树的根节点。 输入数据 保证 ,新值和原始二叉搜索树中的任意节点值都不同。 注意,可能…

MySQL 用户账号迁移

文章目录 前言1. 工具安装1.1 下载安装包1.2 编译安装 2. 用户迁移后记 前言 有一个典型的使用场景,就是 RDS 下云大多数都是通过 DTS 进行数据传输的,用户是不会同步到自建数据库的。需要运维人员在自建数据库重新创建用户,如果用户数量很多…

基于springboot实现图书馆管理系统项目【项目源码+论文说明】

基于springboot实现图书馆管理系统演示 摘要 电脑的出现是一个时代的进步,不仅仅帮助人们解决了一些数学上的难题,如今电脑的出现,更加方便了人们在工作和生活中对于一些事物的处理。应用的越来越广泛,通过互联网我们可以更方便地…

Doccano 修复 spacy.gold 的bug

引言 最初只是想把Doccano标注的数据集转换成BIO(类似conll2003数据集)的标注格式; 按照PR的修改意见实现了修改,但是本人不建议这么做; 应该随着Doccano的升级,Doccano的导出格式发生了变化,而原来的doccano-transfo…

Windows系统搭建VisualSVN并结合内网穿透实现远程访问本地服务

文章目录 前言1. VisualSVN安装与配置2. VisualSVN Server管理界面配置3. 安装cpolar内网穿透3.1 注册账号3.2 下载cpolar客户端3.3 登录cpolar web ui管理界面3.4 创建公网地址 4. 固定公网地址访问 前言 SVN 是 subversion 的缩写,是一个开放源代码的版本控制系统…

基于ssm旅社客房收费管理系统+vue

目 录 目 录 I 摘 要 III ABSTRACT IV 1 绪论 1 1.1 课题背景 1 1.2 研究现状 1 1.3 研究内容 2 2 系统开发环境 3 2.1 vue技术 3 2.2 JAVA技术 3 2.3 MYSQL数据库 3 2.4 B/S结构 4 2.5 SSM框架技术 4 3 系统分析 5 3.1 可行性分析 5 3.1.1 技术可行性 5 3.1.2 操作可行性 5 3…

数仓开发环境链接

这里写目录标题 1开发工具链接大数据组件1.1 启动hiveserver21.2配置DataGrip连接1.3测试使用 2 环境问题排查思路 1开发工具链接大数据组件 1.1 启动hiveserver2 数仓开发工具datagrip 需要用到JDBC协议链接到Hive,需要启动hiveserver2。 cd /opt/module/hive h…

C语言的数据存储详解

C语言数据存储 文章目录 C语言数据存储类型的基本归类类型的意义 数据在内存中的存储整形在内存中的存储大小端整形提升和截断 浮点型在内存中的存储浮点型的存储规则E的不同情况 运用 类型的基本归类 有无符号的意义:生活中有写数据是没有符号之分的,将…

QT TCP传输文件+ui

TCPFile tcp协议传输文件 TCPFile.pro QT core gui networkclientwidget.h #include <QWidget> #include <QTcpSocket> // 通信套接字 #include <QFile>private slots:void on_pushButton_clicked();private:QTcpSocket *tcpSocket;QFile file; /…