数据库进阶——如何提升数据库的安全性,以MySQL和Redis加固为例

news2024/12/25 1:26:05

在这里插入图片描述

目录

  • 引出
  • 数据库加固
    • 加固思路
    • MySQL
    • Redis
  • Redis冲冲冲——缓存三兄弟:缓存击穿、穿透、雪崩
    • 缓存击穿
    • 缓存穿透
    • 缓存雪崩
  • 总结

引出

数据库进阶——如何提升数据库的安全性,以MySQL和Redis加固为例


数据库加固

加固思路

  1. 账号配置
    • 应按照用户分配账号,避免不同用户间共享账号
    • 应删除或锁定与数据库运行、维护等工作无关的账号
    • 删除过期账号
  2. 权限配置
    • 在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限
  3. 口令安全
    • 对于采用静态口令进行认证的数据库,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类
  4. 日志配置
    • 数据库应配置日志功能,记录相关日志。
  5. 安全补丁
    • 在保证业务可用性的前提下,经过分析测试后,可以选择更新使用最新版本的补丁
  6. 访问控制
    • 通过数据库所在操作系统或防火墙限制,只有信任的IP地址才能通过监听器访问数据库

MySQL

  1. 账号配置

    • 删除不需要的数据库账号。

        DROP USER user
      
    • 应按照用户分配帐号,避免不同用户间共享帐号。

  2. 口令安全

    • 不使用默认密码和弱密码。

        #修改密码命令  
        mysql> UPDATE user set password=PASSWORD('test!p3’) WHERE user='root’;
      
  3. 权限配置

    • 禁止MySQL以系统管理员账号权限运行,使用非管理员专用账号来运行mysql服务。

      • Windows系统

        直接打开任务管理器,查看运行mysql进程的操作系统账号,不能为administrator账号

      • Linux系统

          #查看mysql服务的运行账号是否为root或其他高权限账号  
          ps -ef | grep mysql
        
    • 数据库账户权限配置

      MySQL数据库下的user表和db表中存放着可以授予数据库用户的权限,确保只有管理员账号才能访问所有数据库。可以访问mysql数据库的用户或许可以查看密码哈希值、修改用户权限等等。

        #查看数据库授权情况。  
        mysql> use mysql;  
        mysql> select * from user;  
        mysql> select * from db;  
        #授予指定用户权限指定表的权限  
        mysql> Grant select,insert,update,delete on tablename to ‘username’@’hostname’;
      

      外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

  4. 日志配置

    • 根据需求开启对应日志的审计功能。

        #开启错误日志审计,打开my.ini(Windows)或my.cnf(Linux),在[mysqld]下添加  
        log-error="/var/log/mysqld.log"
      
  5. 访问控制

    • 修改MySQL默认端口3306。

        #打开my.ini或者my.cnf,在[mysqld]下修改  
        port=3306        #修改成合适端口
      
    • 网络访问限制,在防火墙中做限制,只允许与指定的 IP 地址与3306端口(或MySQL数据库的指定端口)通讯。

        #创建指定IP的远程用户  
        mysql> GRANT ALL privileges on 库名.表名 to '用户名'@'IP地址' identified by '密码' with grant option;  
        mysql> flush privileges;
      
  6. 其他配置。

    • 安装最新的安全补丁日志,通过SELECT VERSION()查看版本。

Redis

  1. 口令配置

    • 开启redis密码,并设置高复杂度密码。

        #编辑redis.conf  
        requirepass test123!@#;
      
  2. 授权管理

    • 禁止使用root启动redis,使用普通账户启动redis。

    • 限制redis文件目录访问权限。

        $chmod 700 /var/lib/redis   #redis目录  
        $chmod 600 /etc/redis/redis.conf  #redis配置文件
      
    • 禁用或重命名危险命令。

        #在redis.conf配置文件添加  
        rename-command CONFIG CONFIG_1        #重命名命令CONFIGCONFIG_1          
        rename-command FLUSHDB ""              #禁用此命令
      
  3. 访问控制

    • 修改默认端口6379。

        #修改redis.conf配置文件:  
        port 5656
      
    • 配置redis仅监听在指定IP地址。

        #修改redis.conf配置文件:  
        bind 127.0.0.1 192.168.1.12
      

Redis冲冲冲——缓存三兄弟:缓存击穿、穿透、雪崩

缓存击穿

缓存击穿:redis中没有,但是数据库有

顺序:先查缓存,判断缓存是否存在;如果缓存存在,直接返回数据;如果缓存不存在,則查询数据库,将数据库的数据存入到缓存

在这里插入图片描述

解决方案:将热点数据设置过期时间长一点;针对数据库的热点访问方法上分布式锁;

缓存穿透

缓存穿透:redis中没有,数据库也没有

在这里插入图片描述

解决方案:

(1)将不存在的key,在redis设置值为null;

(2)使用布隆过滤器;

原理:https://zhuanlan.zhihu.com/p/616911933

在这里插入图片描述

布隆过滤器:

如果确认key不存在于redis中,那么就一定不存在;

它说key存在,就有可能存在,也可能不存在! (误差)

在这里插入图片描述

布隆过滤器

1、根据配置类中的 key的数量 ,误差率,计算位图数组【二维数组】

2、通过布隆过滤器存放key的时候,会计算出需要多少个hash函数,由hash函数算出多少个位图位置需要设定为1

3、查询时,根据对应的hash函数,判断对应的位置值是否都为1;如果有位置为0,则表示key一定不存在于该redis服务器中;如果全部位置都为1,则表示key可能存在于redis服务器中;

缓存雪崩

缓存雪崩:

Redis的缓存雪崩是指当Redis中大量缓存数据同时失效或者被清空时,大量的请求会直接打到数据库上,导致数据库瞬时压力过大,甚至宕机的情况。

造成缓存雪崩的原因主要有两个:

1.相同的过期时间:当Redis中大量的缓存数据设置相同的过期时间时,这些数据很可能会在同一时间点同时失效,导致大量请求直接打到数据库上。

2.缓存集中失效:当服务器重启、网络故障等因素导致Redis服务不可用,且缓存数据没有自动进行容错处理,当服务恢复时大量的数据同时被重新加载到缓存中,也会导致大量请求直接打到数据库上。

预防缓存雪崩的方法主要有以下几种:

1.设置不同的过期时间:可以将缓存数据的过期时间分散开,避免大量缓存数据在同一时间点失效。

2.使用加锁:可以将所有请求都先进行加锁操作,当某个请求去查询数据库时,如果还没有加载到缓存中,则只让单个线程去执行加载操作,其他线程等待该线程完成后再次进行判断,避免瞬间都去访问数据库从而引起雪崩。

3.提前加载预热:在系统低峰期,可以提前将部分热点数据加载到缓存中,这样可以避免在高峰期缓存数据失效时全部打到数据库上。

4.使用多级缓存:可以在Redis缓存之上再使用一层缓存,例如本地缓存等,当Redis缓存失效时,还能够从本地缓存中获取数据,避免直接打到数据库上。

在这里插入图片描述

本地缓存:ehcache oscache spring自带缓存 持久层框架的缓存


总结

数据库进阶——如何提升数据库的安全性,以MySQL和Redis加固为例

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1482079.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

B树系列(详解)

目录 一、B-树 二、B树 三、B*树 四、时间复杂度 五、Mysql与B树系列 一、B-树 首先再说B树的性质以及其他的之前,先要说一声,好多人都把这个树叫B减树,其实不是,他就叫B树,至于原因我觉的没必要再这个名字上纠结…

LED制造企业元亨光电牵手盘古信息,开启数字化转型新篇章

在多媒体时代,LED产品已经融入我们生活的方方面面,无论是在商场、超市、机场,还是在公交站、马路边、隧道内,它们的身影无处不在。 坐落在深圳宝安区福永,拥有40000㎡ 研发生产LED产品基地的深圳市元亨光电股份有限公…

哪个有名的工具可以安全记事 私密记事本笔记推荐

在这个数字化的时代,我们的生活已经离不开各种记事工具。它们帮助我们记录生活中的点点滴滴,无论是工作上的重要事项,还是个人的私密心情。然而,当我在寻找一个能够安心记录私密事情的工具时,安全性成为了我最关心的因…

Tomcat相关基础以及安装运行

目录 一、web概念 二、常见的web服务器 三、Tomcat 安装 下载: 安装: 四、Tomcat 目录结构 五、Tomcat 启动停止 一、web概念 软件架构: B/S: 浏览器/服务器端 ‐‐‐‐‐‐‐‐‐‐‐‐> 京东,网易&#xff0c…

buuctf_reverse_新年快乐+内涵的软件

新年快乐 题目:新年快乐.exe 这玩意有壳!我去down了upx脱壳 开始放exeinfope的图片没截,我记得下载完upx后exeinfoPE显示还不一样。留了一张脱壳的实验图片: 然后放IDA 我是笔记本键盘,shiftFnF12转字符串 诶呦&…

鸿蒙Harmony应用开发—ArkTS声明式开发(通用属性:位置设置)

设置组件的对齐方式、布局方向和显示位置。 说明: 从API Version 7开始支持。后续版本如有新增内容,则采用上角标单独标记该内容的起始版本。 align align(value: Alignment) 设置容器元素绘制区域内的子元素的对齐方式。 卡片能力: 从API…

判断子序列[简单]

优质博文:IT-BLOG-CN 一、题目 给定字符串s和t,判断s是否为t的子序列。字符串的一个子序列是原始字符串删除一些(也可以不删除)字符而不改变剩余字符相对位置形成的新字符串。(例如ace是abcde的一个子序列&#xff0c…

html样式排版

<template><div class"box"><div class"header">头部</div><div class"main"><div class"left">菜单</div><div class"right"><div class"right-contentr"&g…

C++菱形继承_多态

&#x1f493;博主CSDN主页:麻辣韭菜-CSDN博客&#x1f493;   ⏩专栏分类&#xff1a;http://t.csdnimg.cn/362T6⏪   &#x1f69a;代码仓库:要相信光/C高阶&#x1f69a;   &#x1f339;关注我&#x1faf5;带你学习更多C知识   &#x1f51d;&#x1f51d; 目录 前言…

容联云入选IDC生成式AI图谱,多个案例被评典型应用

随着生成式AI进入商业化初期&#xff0c;国际数据公司&#xff08;IDC&#xff09;于近日发布了《IDC Market Glance: 中国生成式AI市场概览》报告&#xff0c;报告分析了当前市场的整体情况以及市场格局&#xff0c;通过中国生成式AI市场生态图谱V1.0和代表厂商分析&#xff0…

BUUCTF---另外一个世界1

1.这是一道杂项题&#xff0c;也是我觉得最值得记录的一道题。 2.话不多说&#xff0c;题目描述&#xff08;真的是另一个世界&#xff09; 3.下载附件&#xff0c;是一张图片 4.尝试了查看属性&#xff0c;以及在记事本中打开看看有没有什么有用的信息&#xff0c;发现没什么…

C# WPF如何自定义控件ComboBox

在WPF开发中&#xff0c;经常遇到需要修改原生ComboBox的控件样式。 对于新手来说&#xff0c;修改控件样式比较麻烦。 修改的最终样式如下&#xff1a; 你可以利用如下代码模板&#xff0c;修改为你自己想要的样式。 <Style TargetType"{x:Type ComboBox}"&…

CSP-202112-3-登机牌条码

CSP-202112-3-登机牌条码 解题思路 一、.处理大小写和数字 初始化变量&#xff1a;flag: 用来标识当前处理的字符类型&#xff0c;0代表大写字母&#xff0c;1代表小写字母&#xff0c;2代表数字。 大小写字母和数字的处理&#xff1a; 小写字母(a < it && it &l…

新一代湖仓集存储,多模型统一架构,高效挖掘数据价值

星环科技TDH一直致力于给用户带来高性能、高可靠的一站式大数据基础平台&#xff0c;满足对海量数据的存储和复杂业务的处理需求。 同时在易用性方面持续深耕&#xff0c;降低用户开发和运维成本&#xff0c;让数据处理平民化&#xff0c;助力用户以更便捷、高效的方式去挖掘数…

基带信号处理设计原理图:2-基于6U VPX的双TMS320C6678+Xilinx FPGA K7 XC7K420T的图像信号处理板

基于6U VPX的双TMS320C6678Xilinx FPGA K7 XC7K420T的图像信号处理板 综合图像处理硬件平台包括图像信号处理板2块&#xff0c;视频处理板1块&#xff0c;主控板1块&#xff0c;电源板1块&#xff0c;VPX背板1块。 一、板卡概述 图像信号处理板包括2片TI 多核DSP处理…

anaconda简介以及安装(Windows)

介绍 Anaconda是一个开源的Python发行版本&#xff0c;它是一个打包的集合&#xff0c;里面预装了conda、Python、众多packages、科学计算工具等。Anaconda的目的是方便使用Python进行数据科学研究&#xff0c;它涵盖了数据科学领域常见的Python库&#xff0c;并且自带了专门用…

Linux之gcc和makefile的使用详细解析

个人主页&#xff1a;点我进入主页 专栏分类&#xff1a;C语言初阶 C语言进阶 数据结构初阶 Linux C初阶 算法 欢迎大家点赞&#xff0c;评论&#xff0c;收藏。 一起努力&#xff0c;一起奔赴大厂 目录 一.gcc/g安装 二.gcc运行代码 三.gcc是如何完成的 3.1预处…

matlab图像仿射变换

在Matlab中进行图像的仿射变换通常使用imwarp函数。下面是一个简单的示例代码&#xff0c;以及对应的说明&#xff1a; % 读取图像 image imread(lena.png);% 设置仿射变换矩阵 theta 30; % 旋转角度 scale_factor 1.5; % 缩放因子 shear_factor 0.5; % 剪切因子% 构造仿射…

Ps:海绵工具

海绵工具 Sponge Tool可用于调整图像中特定区域的饱和度&#xff0c;常用于增加或减少颜色的饱和度。 快捷键&#xff1a;O 在特别的灰度图像上&#xff0c;则可用于调整对比度&#xff0c;这可以开发出更多的创意技巧。 ◆ ◆ ◆ 常用操作方法与技巧 1、海绵工具主要用于调整…

二百二十五、海豚调度器——用DolphinScheduler调度执行Flume数据采集任务

一、目的 数仓的数据源是Kafka&#xff0c;因此离线数仓需要用Flume采集Kafka中的数据到HDFS中 在实际项目中&#xff0c;不可能一直在Xshell中启动Flume任务&#xff0c;一是项目的Flume任务很多&#xff0c;二是一旦Xshell页面关闭Flume任务就会停止&#xff0c;这样非常不…