9 biện pháp hàng đầu để tăng cường bảo mật trong MySQL và MariaDB

MySQL là hệ quản trị cơ sở dữ liệu mã nguồn mở phổ biến nhất thế giới. Trong khi đó, MariaDB là một nhánh của MySQL và là một trong những hệ quản trị cơ sở dữ liệu mã nguồn mở phát triển nhanh nhất. Bảo mật cơ sở dữ liệu là ưu tiên hàng đầu của bất kỳ quản trị viên hệ thống. Vì vậy, nó rất quan trọng cho các doanh nghiệp số ngày nay.

Cài đặt mặc định của MySQL/MariaDB không an toàn. Vì vậy bạn cần tinh chỉnh một số cấu hình để bảo mật MySQL và MariaDB khỏi các hacker. 

Hướng dẫn này sẽ cung cấp 9 biện pháp hàng đầu để bảo mật cơ sở dữ liệu MySQL và MariaDB.

1. Bảo mật cài đặt MySQL/MariaDB

Theo mặc định, cài đặt MySQL/MariaDB không an toàn. Theo mặc định, cơ sở dữ liệu kiểm tra và người dùng ẩn danh có sẵn trong MySQL/MariaDB và có thể được truy cập bởi tất cả người dùng. Nên vô hiệu hóa tài khoản root MySQL khỏi truy cập từ bên ngoài.

Bạn có thể chạy script mysql_secure_installation để bảo mật tất cả:

```

mysql_secure_installation

```

Bạn sẽ được yêu cầu đặt mật khẩu root, xóa cơ sở dữ liệu kiểm tra và người dùng ẩn danh, vô hiệu hóa đăng nhập root từ xa.

2. Thay đổi cổng mặc định và địa chỉ lắng nghe của MySQL 

Theo mặc định, MySQL và MariaDB lắng nghe trên cổng 3306 trên địa chỉ vòng lặp. Thay đổi cổng mặc định MySQL là một ý kiến tốt vì mục đích bảo mật.

Đối với MySQL, bạn có thể thay đổi cổng và địa chỉ lắng nghe mặc định bằng cách chỉnh sửa tệp:

```

/etc/mysql/mysql.conf.d/mysqld.cnf 

```

Thay đổi dòng sau:

```

bind-address = 127.0.0.1 

Port = 9090

```

Đối với MariaDB, bạn có thể thay đổi cổng và địa chỉ lắng nghe mặc định bằng cách chỉnh sửa tệp: 

```

/etc/mysql/mariadb.conf.d/50-server.cnf

```

Thay đổi dòng sau:

```

bind-address = 127.0.0.1

Port = 9090

```

Lưu và đóng tệp, sau đó khởi động lại dịch vụ MySQL/MariaDB.

3. Vô hiệu hóa LOCAL INFILE

Nên vô hiệu hóa local_infile trong MySQL. Nó sẽ từ chối client tải dữ liệu từ tệp cục bộ lên máy chủ MySQL từ xa. Bạn có thể vô hiệu hóa bằng cách chỉnh sửa tệp cấu hình mặc định của MySQL/MariaDB:

```

/etc/mysql/mysql.conf.d/mysqld.cnf

Hoặc 

/etc/mysql/mariadb.conf.d/50-server.cnf

```

Thay đổi dòng sau:

```

local-infile=0

```

Lưu và đóng tệp, sau đó khởi động lại MySQL/MariaDB để áp dụng thay đổi.

4. Bật ghi nhật ký MySQL 

Theo mặc định, ghi nhật ký bị vô hiệu hóa trong cả máy chủ MySQL và MariaDB. Bạn nên bật nó để tìm nguyên nhân tiềm ẩn của sự cố và hiểu những gì xảy ra trên máy chủ.

Bạn có thể bật nhật ký bằng cách chỉnh sửa tệp cấu hình mặc định của MySQL và MariaDB:

```

/etc/mysql/mysql.conf.d/mysqld.cnf

Hoặc

/etc/mysql/mariadb.conf.d/50-server.cnf

```

Thay đổi dòng sau:

```

log_error = /var/log/mysql/error.log

```

Lưu và đóng tệp, sau đó khởi động lại MySQL/MariaDB để áp dụng thay đổi.

5. Bảo mật kết nối MySQL/MariaDB với SSL/TLS

Nên bảo mật kết nối MySQL/MariaDB với SSL/TLS. Bật SSL/TLS sẽ mã hóa dữ liệu gửi đến và từ cơ sở dữ liệu. Ngoài ra, nó sẽ thêm một lớp bảo mật cho máy chủ MySQL và đảm bảo tất cả dữ liệu được chuyển an toàn và không thể bị nghe lén bởi kẻ tấn công.

6. Xóa tệp lịch sử MySQL 

Khi cài đặt MySQL và MariaDB, tệp lịch sử MySQL .mysql_history được tạo tự động. Tệp này chứa tất cả thông tin cài đặt và cấu hình cũng như các lệnh. Nó có thể nguy hiểm vì nó sẽ ghi lại tất cả các lệnh, tên người dùng và mật khẩu bạn đã gõ trên shell vào tệp lịch sử.

Vì vậy, nên xóa tệp này khỏi hệ thống của bạn.

```

rm -rf ~/.mysql_history

```

7. Thay đổi mật khẩu MySQL thường xuyên 

Nên thay đổi mật khẩu MySQL thường xuyên. Nó sẽ ngăn người xấu theo dõi hoạt động của bạn trong thời gian dài.

Để thay đổi mật khẩu người dùng MySQL, kết nối với shell MySQL:

```

mysql -u root -p

```

Sau khi đăng nhập, đặt mật khẩu root mới:

```

ALTER USER 'root'@'localhost' IDENTIFIED WITH caching_sha2_password BY 'yourpassword';

```

Tiếp theo, làm mới các đặc quyền và thoát khỏi shell MySQL:

```

FLUSH PRIVILEGES; EXIT;

```

8. Cập nhật gói MySQL/MariaDB thường xuyên

Nên cập nhật và nâng cấp gói MySQL/MariaDB thường xuyên để giữ máy chủ của bạn với các bản cập nhật bảo mật và sửa lỗi.

Bạn có thể cập nhật gói MySQL/MariaDB với lệnh:

```

apt-get upgrade mysql-server -y

apt-get upgrade mariadb-server -y

```

Sau khi cập nhật gói, khởi động lại dịch vụ MySQL/MariaDB để áp dụng thay đổi.

9. Đổi tên người dùng root MySQL

Nên đổi tên người dùng root MySQL để ngăn chặn tấn công trực tiếp vào người dùng root.

Đầu tiên, kết nối với MySQL:

```

mysql -u root -p

```

Sau đó, đổi tên người dùng root thành admin:

```

rename user 'root'@'localhost' to 'admin'@'localhost'; 

```

Kiểm tra thay đổi:

```

select user,host from mysql.user;

```

Sau đó, làm mới đặc quyền và thoát MySQL:

```

FLUSH PRIVILEGES; EXIT;

```

Bây giờ bạn có thể đăng nhập với người dùng mới tạo.


Như vậy là bạn đã biết cách bảo mật máy chủ cơ sở dữ liệu MySQL và MariaDB. Hy vọng những biện pháp này sẽ giúp bạn bảo mật máy chủ cơ sở dữ liệu.

Comments

Post a Comment

Popular posts from this blog

Cách sử dụng Redis Cache để ngăn chặn các cuộc tấn công DDoS

Nhà phát triển phần mềm tại Avenue Code, Cristiano Guerra, chia sẻ câu chuyện cách công ty anh ta sử dụng Redis Cache để ngăn chặn các cuộc tấn công DdoS. Năm 2019, tôi làm việc tại một ngân hàng đầu tư ở thành phố Sài Gòn. Hàng ngày, hệ thống của chúng tôi xử lý các giao dịch triệu đô la, và phương châm chung của chúng tôi là "ổn định và an toàn".  Một trong những biện pháp phòng ngừa mà chúng tôi thực hiện là ngăn chặn các cuộc tấn công DDoS (Từ chối dịch vụ). Mặc dù các nền tảng điện toán đám mây đảm bảo họ sẽ không gặp vấn đề DDoS vì hệ thống của họ mạnh mẽ và có thể mở rộng để xử lý một lượng lớn yêu cầu (với một lượng tiền lớn), chúng tôi không muốn ngân hàng phải chi một khoản tiền khổng lồ nếu họ bị tấn công như vậy. Ý tưởng  Chúng tôi đã tổ chức một cuộc họp để thảo luận các ý tưởng và khả năng, và ý tưởng chiến thắng là lưu trữ bộ nhớ cache các phiên truy cập của người dùng với bộ đếm yêu cầu. Người dùng sẽ được phép thực hiện tối đa 50 yêu cầu trong một phút. Chúng...
Read more

Hướng dẫn cài đặt và cấu hình OrientDB trên Ubuntu 22.04 LTS

Image
OrientDB là hệ quản trị cơ sở dữ liệu NoSQL, đa mô hình kết hợp độ linh hoạt của tài liệu với sức mạnh của cơ sở dữ liệu đồ thị. Trong bài viết này, chúng tôi sẽ hướng dẫn bạn qua từng bước cài đặt OrientDB trên Ubuntu 22.04 LTS, cho phép bạn tận dụng các khả năng của nó để xây dựng các ứng dụng mạnh mẽ và có tính mở rộng. Cài đặt và cấu hình OrientDB trên Ubuntu Bước 1: Cập nhật các gói hệ thống Trước khi cài đặt OrientDB, hãy đảm bảo hệ thống của bạn được cập nhật. Mở terminal và chạy các lệnh sau: ``` sudo apt update sudo apt upgrade ``` Bước 2: Tải xuống OrientDB bằng cách chạy các lệnh sau: ``` export RELEASE=$(curl -s https://api.github.com/repos/orientechnologies/orientdb/releases/latest|grep tag_name|cut -d '"' -f 4) wget https://repo1.maven.org/maven2/com/orientechnologies/orientdb-community/$RELEASE/orientdb-community-$RELEASE.tar.gz ``` Bước 3: Giải nén OrientDB Khi tải xuống hoàn tất, mở terminal và điều hướng đến thư mục nơi gói OrientDB được tải xuống. Sử dụn...
Read more

Hướng dẫn sao lưu cơ sở dữ liệu SQLite định kỳ trên iCloud dành cho Data Scientist

Là một nhà khoa học dữ liệu hoặc kỹ sư phần mềm, bạn hiểu rõ tầm quan trọng của việc sao lưu dữ liệu. Trong lĩnh vực phát triển iOS, các cơ sở dữ liệu SQLite đóng vai trò là lựa chọn phổ biến để lưu trữ và quản lý dữ liệu. Tuy nhiên, việc đảm bảo sao lưu thường xuyên các cơ sở dữ liệu này có thể rất quan trọng cho tính toàn vẹn dữ liệu và khôi phục thảm họa. Trong bài viết này, chúng ta sẽ khám phá cách thiết lập và tự động hóa quá trình sao lưu định kỳ cơ sở dữ liệu SQLite lên iCloud, cung cấp cho bạn sự yên tâm và một giải pháp sao lưu dữ liệu đáng tin cậy. Vì sao cần sao lưu lên iCloud? iCloud cung cấp một giải pháp lưu trữ đám mây thuận tiện và an toàn cho các thiết bị iOS. Bằng cách tận dụng Sao lưu iCloud, bạn có thể tự động sao lưu các tệp cơ sở dữ liệu SQLite của mình cùng với các dữ liệu thiết yếu khác, chẳng hạn như cài đặt ứng dụng, ảnh và tài liệu. Điều này đảm bảo rằng các cơ sở dữ liệu SQLite của bạn được bảo vệ chống lại việc thiết bị bị mất, bị trộm cắp hoặc bất kỳ sự k...
Read more