數據庫安全防護幾點介紹

企業最有價值的資產通常是其數據庫中的客戶或產品信息 因此 在這些企業中 數據庫管理的一個重要部分就是保護這些數據免受外部攻擊 及修復軟/硬件故障

創新互聯公司科技有限公司專業互聯網基礎服務商，為您提供達州托管服務器，高防服務器租用，成都IDC機房托管，成都主機托管等互聯網服務。

在大多數情況下 軟硬件故障通過數據備份機制來處理 多數數據庫都自帶有內置的工具自動完成整個過程 所以這方面的工作相對輕松 也不會出錯 但麻煩卻來自另一面 阻止外來黑客入侵竊取或破壞數據庫中的信息 不幸的是 一般沒有自動工具解決這一問題;而且 這需要管理員手工設置障礙來阻止黑客 確保公司數據的安全

不對數據庫進行保護的常見原因是由于這一工作 麻煩 而 復雜 這確實是事實 但如果你應用MySQL 就可以使用一些方便的功能來顯著減少面臨的風險 下面列出了以下幾個功能

刪除授權表中的通配符

MySQL訪問控制系統通過一系列所謂的授權表運行 從而對數據庫 表格或欄目級別的用戶訪問權利進行定義 但這些表格允許管理員為一名用戶設定一攬子許可 或一組應用通配符的表格 這樣做會有潛在的危險 因為黑客可能會利用一個受限的賬戶來訪問系統的其他部分 由于這一原因 在設置用戶特權時要謹慎 始終保證用戶只能訪問他們所需的內容 在給個別用戶設定超級特權時要尤其小心 因為這種級別允許普通用戶修改服務器的基本配置 并訪問整個數據庫

建議 對每個用戶賬戶應用顯示特權命令 以審查授權表 了解應用通配符許可是否恰當

要求使用安全密碼

用戶賬號的安全與用來保護它們的密碼密切相關 因此 在安裝MySQL時第一件事就應該設置MySQL根賬號的密碼(默認為空) 修復這一漏洞后 接下來就應要求每個用戶賬號使用一個密碼 且不要使用生日 用戶名或字典中的單詞這些容易識別的啟發式密碼

建議 應用MySQL 安全 授權選項避免使用舊的 不大安全的MySQL密碼格式

　 　檢查配置文件許可

一般來說 要使服務器連接更為快速方便 單個用戶和服務器管理員必須把他們的用戶賬號密碼存儲在單用戶MySQL選項文件中 但是 這種密碼是以純文本形式存儲在文件中的 很容易就可以查閱 因此 必須保證這樣的單用戶配置文件不被系統中的其他用戶查閱 且將它存儲在非公共的位置 理想情況下 你希望單用戶配置文件保存在用戶的根目錄 許可為

加密客戶與服務器之間數據傳送

MySQL(及其它)客戶與服務器構架的一個重要問題就是通過網絡傳送數據時的安全問題 如果客戶與服務器間的交互以純文本形式發生 黑客就可能 嗅出 被傳送的數據包 從而獲得機密信息 你可以通過激活MySQL配置中的SSL 或應用一個OpenSSH這樣的安全應用來為傳送的數據建立一個安全的加密 通道 以關閉這一漏洞 以這種形式加密客戶與服務器連接可使未授權用戶極難查閱往來的數據

　 　禁止遠程訪問

如果用戶不需要遠程訪問服務器 你可以迫使所有MySQL連接通過UNIX插槽文件來完成 從而大大減少網絡受攻擊的風險 這一過程可通過跳過網絡選項啟動服務器來完成 這樣可以阻止TCP/IP網絡連接到MySQL上 保證沒有用戶可以遠程連接系統

建議 可以在MySQL服務器配置中添加捆綁地址 指令來增強這一功能 迫使MySQL捆綁當地機器的IP地址來保證只有同一系統中的用戶可以連接到MySQL

積極監控MySQL訪問記錄

MySQL中帶有很多不同的日志文件 它們記錄客戶連接 查詢和服務器錯誤 其中 最重要的是一般查詢日志 它用時間標簽記錄每名客戶的連接和中斷時間 并記錄客戶執行的每個查詢 如果你懷疑發生了不尋常的行為 如網絡入侵 那么監控這個日志以了解行為的來源是個好方法

lishixinzhi/Article/program/SQL/201311/16349

web服務器安全設置

Web服務器攻擊常利用Web服務器軟件和配置中的漏洞，web服務器安全也是我們現在很多人關注的一點，那么你知道web服務器安全設置嗎?下面是我整理的一些關于web服務器安全設置的相關資料，供你參考。

web服務器安全設置一、IIS的相關設置

刪除默認建立的站點的虛擬目錄，停止默認web站點，刪除對應的文件目錄c:inetpub，配置所有站點的公共設置，設置好相關的連接數限制， 帶寬設置以及性能設置等其他設置。配置應用程序映射，刪除所有不必要的應用程序擴展，只保留asp，php，cgi，pl，aspx應用程序擴展。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給客戶。

對于數據庫，盡量采用mdb后綴，不需要更改為asp，可在IIS中設置一個mdb的擴展映射，將這個映射使用一個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數據庫被下載。設置IIS的日志保存目錄，調整日志記錄信息。設置為發送文本錯誤信息。修改403錯誤頁面，將其轉向到其他頁，可防止一些掃描器的探測。另外為隱藏系統信息，防止telnet到80端口所泄露的系統版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關軟件如banneredit修改。

對于用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應三個文件佳，wwwroot，database，logfiles，分別存放站點文件，數據庫備份和該站點的日志。如果一旦發生入侵事件可對該用戶站點所在目錄設置具體的權限，圖片所在的目錄只給予列目錄的權限，程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步。

方法

用戶從腳本提升權限：

web服務器安全設置二、ASP的安全設置

設置過權限和服務之后，防范asp木馬還需要做以下工作，在cmd窗口運行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法：可取消以上文件的users用戶的權限，重新啟動IIS即可生效。但不推薦該方法。

另外，對于FSO由于用戶程序需要使用，服務器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動開通空間的虛擬商服務器上使用，只適合于手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組，對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執行權限，不需要的不給權限。重新啟動服務器即可生效。

對于這樣的設置結合上面的權限設置，你會發現海陽木馬已經在這里失去了作用!

web服務器安全設置三、PHP的安全設置

默認安裝的php需要有以下幾個注意的問題：

C:\winnt\php.ini只給予users讀權限即可。在php.ini里需要做如下設置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]

web服務器安全設置四、MySQL安全設置

如果服務器上啟用MySQL數據庫，MySQL數據庫需要注意的安全設置為：

刪除mysql中的所有默認用戶，只保留本地root帳戶，為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop權限的時候，并限定到特定的數據庫，尤其要避免普通客戶擁有對mysql數據庫操作的權限。檢查mysql.user表，取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv權限，這些權限可能泄漏更多的服務器信息包括非mysql的 其它 信息出去。可以為mysql設置一個啟動用戶，該用戶只對mysql目錄有權限。設置安裝目錄的data數據庫的權限(此目錄存放了mysql數據庫的數據信息)。對于mysql安裝目錄給users加上讀取、列目錄和執行權限。

Serv-u安全問題：

安裝程序盡量采用最新版本，避免采用默認安裝目錄，設置好serv-u目錄所在的權限，設置一個復雜的管理員密碼。修改serv-u的banner信息，設置被動模式端口范圍(4001—4003)在本地服務器中設置中做好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截“FTP bounce”攻擊和FXP，對于在30秒內連接超過3次的用戶攔截10分鐘。域中的設置為：要求復雜密碼，目錄只使用小寫字母，高級中設置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動用戶：在系統中新建一個用戶，設置一個復雜點的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權限，否則無法操 作文 件。另外需要給該目錄以上的上級目錄給該用戶的讀取權限，否則會在連接的時候出現530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權限，為了安全取消d盤其他文件夾的繼承權限。而一般的使用默認的system啟動就沒有這些問題，因為system一般都擁有這些權限的。

web服務器安全設置五、數據庫服務器的安全設置

對于專用的MSSQL數據庫服務器，按照上文所講的設置TCP/IP篩選和IP策略，對外只開放1433和5631端口。對于MSSQL首先需要為sa設置一個強壯的密碼，使用混合身份驗證,加強數據庫日志的記錄,審核數據庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成 企業管理 器中部分功能不能使用),這些過程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊表訪問過程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統存儲過程，如果認為還有威脅，當然要小心drop這些過程，可以在測試機器上測試，保證正常的系統能完成工作，這些過程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口。除去數據庫的guest賬戶把未經認可的使用者據之在外。 例外情況是master和 tempdb 數據庫,因為對他們guest帳戶是必需的。另外注意設置好各個數據庫用戶的權限，對于這些用戶只給予所在數據庫的一些權限。在程序中不要用sa用戶去連接任何數據庫。網絡上有建議大家使用協議加密的，千萬不要這么做，否則你只能重裝MSSQL了。

服務器如何保護數據安全

服務器安全這問題，很重要，之前服務器被黑，在網上搜索了一些服務器安全設置以及防黑的文章，對著文章，我一個一個的設置起來，費了好幾天的時間才設置完，原以為會防止服務器再次被黑，沒想到服務器竟然癱瘓了，網站都打不開了，無奈對服務器安全也是一竅不通，損失真的很大，數據庫都損壞了，我哪個后悔啊。娘個咪的。最后還是讓機房把系統重裝了。找了幾個做網站服務器方面的朋友，咨詢了關于服務器被黑的解決辦法，他們都建議我找專業做服務器安全的安全公司來給做安全維護，也一致的推薦了sinesafe，服務器被黑的問題，才得以解決。

一路的走來，才知道，服務器安全問題可不能小看了。經歷了才知道，服務器安全了給自己帶來的也是長遠的利益。 希望我的經歷能幫到樓主，幫助別人也是在幫助我自己。

下面是一些關于安全方面的建議！

建站一段時間后總能聽得到什么什么網站被掛馬，什么網站被黑。好像入侵掛馬似乎是件很簡單的事情。其實，入侵不簡單，簡單的是你的網站的必要安全措施并未做好。

一：掛馬預防措施：

1、建議用戶通過ftp來上傳、維護網頁，盡量不安裝asp的上傳程序。

2、定期對網站進行安全的檢測，具體可以利用網上一些工具，如sinesafe網站掛馬檢測工具！

序，只要可以上傳文件的asp都要進行身份認證!

3、asp程序管理員的用戶名和密碼要有一定復雜性，不能過于簡單，還要注意定期更換。

4、到正規網站下載asp程序，下載后要對其數據庫名稱和存放路徑進行修改，數據庫文件名稱也要有一定復雜性。

5、要盡量保持程序是最新版本。

6、不要在網頁上加注后臺管理程序登陸頁面的鏈接。

7、為防止程序有未知漏洞，可以在維護后刪除后臺管理程序的登陸頁面，下次維護時再通過ftp上傳即可。

8、要時常備份數據庫等重要文件。

9、日常要多維護，并注意空間中是否有來歷不明的asp文件。記住：一分汗水，換一分安全!

10、一旦發現被入侵，除非自己能識別出所有木馬文件，否則要刪除所有文件。

11、對asp上傳程序的調用一定要進行身份認證，并只允許信任的人使用上傳程序。這其中包括各種新聞發布、商城及論壇程

二：掛馬恢復措施：

1.修改帳號密碼

不管是商業或不是，初始密碼多半都是admin。因此你接到網站程序第一件事情就是“修改帳號密碼”。帳號

密碼就不要在使用以前你習慣的，換點特別的。盡量將字母數字及符號一起。此外密碼最好超過15位。尚若你使用

SQL的話應該使用特別點的帳號密碼，不要在使用什么什么admin之類，否則很容易被入侵。

2.創建一個robots.txt

Robots能夠有效的防范利用搜索引擎竊取信息的駭客。

3.修改后臺文件

第一步：修改后臺里的驗證文件的名稱。

第二步：修改conn.asp，防止非法下載，也可對數據庫加密后在修改conn.asp。

第三步：修改ACESS數據庫名稱，越復雜越好，可以的話將數據所在目錄的換一下。

4.限制登陸后臺IP

此方法是最有效的，每位虛擬主機用戶應該都有個功能。你的IP不固定的話就麻煩點每次改一下咯，安全第一嘛。

5.自定義404頁面及自定義傳送ASP錯誤信息

404能夠讓駭客批量查找你的后臺一些重要文件及檢查網頁是否存在注入漏洞。

ASP錯誤嘛，可能會向不明來意者傳送對方想要的信息。

6.慎重選擇網站程序

注意一下網站程序是否本身存在漏洞，好壞你我心里該有把秤。

7.謹慎上傳漏洞

據悉，上傳漏洞往往是最簡單也是最嚴重的，能夠讓黑客或駭客們輕松控制你的網站。

可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業做網站安全的sinesafe公司。

8. cookie 保護

登陸時盡量不要去訪問其他站點，以防止 cookie 泄密。切記退出時要點退出在關閉所有瀏覽器。

9.目錄權限

請管理員設置好一些重要的目錄權限，防止非正常的訪問。如不要給上傳目錄執行腳本權限及不要給非上傳目錄給于寫入權。

10.自我測試

如今在網上黑客工具一籮筐，不防找一些來測試下你的網站是否OK。

11.例行維護

a.定期備份數據。最好每日備份一次，下載了備份文件后應該及時刪除主機上的備份文件。

b.定期更改數據庫的名字及管理員帳密。

c.借WEB或FTP管理，查看所有目錄體積，最后修改時間以及文件數，檢查是文件是否有異常，以及查看是否有異常的賬號。

分享題目：數據庫服務器安全設置 數據庫服務器有哪些安全機制
分享路徑：http://vcdvsql.cn/article24/ddeihje.html

成都網站建設公司_創新互聯，為您提供網站策劃、品牌網站設計、標簽優化、全網營銷推廣、網站營銷、小程序開發

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯