《高可用MySQL》P59

安全和二進(jìn)制日志

一般來說，一個(gè)有REPLICATION SLAVE權(quán)限的用戶擁有讀取Master上發(fā)生的所有事件的權(quán)限，因此為了確保安全應(yīng)使該賬戶不被損害。這里介紹一些預(yù)防措施的例子：

1 盡可能使從防火墻外無法登錄該賬戶；

2 記錄所有試圖登錄到該賬戶的日志，并將日志放置在一個(gè)單獨(dú)的安全服務(wù)器上；

3 加密Master和Salve間所用的連接，例如MySQL的built-in SSL(Secure Sockets Layer)支持。

即使這個(gè)賬戶已經(jīng)安全了，還存在一些沒必要放在二進(jìn)制日志中的信息，因此首先不存儲在那里也是有道理的。

較為常見的一個(gè)敏感信息就是密碼。當(dāng)執(zhí)行改變服務(wù)器上的表的語句，并且它包含訪問這個(gè)表所必須的密碼的時(shí)候，包含密碼的事件會被寫入二進(jìn)制日志。

一個(gè)典型的例子是：

UPDATE employee SET pass = PASSWORD('foobar') WHERE email = 'mats@example.com';

如果復(fù)制是正確的，最好重寫這個(gè)沒有密碼的語句。可以通過以下方法實(shí)現(xiàn)：計(jì)算和存儲哈希密碼到用戶定義變量，然后在表達(dá)式中使用它：

SET @password = PASSWORD('foobar');UPDATE employee SET pass = @password WHERE email = 'mats@example.com';

由于SET語句沒有被復(fù)制，原來的密碼將不會存儲在二進(jìn)制日志中，而僅在執(zhí)行該語句的時(shí)候存儲在服務(wù)器的內(nèi)存中。

只要存儲password hash到表中，而不需要純文本密碼，這種方法行之有效。如果原始密碼是直接存儲在表中的，就有沒有辦法阻止密碼在二進(jìn)制日志中結(jié)束。但存儲哈希密碼在任何情況下都是一個(gè)標(biāo)準(zhǔn)的好做法，可以防止有人通過學(xué)習(xí)密碼將原始數(shù)據(jù)弄到手。

封裝連接為加密Master和Salve之間的連接提供了一些保護(hù)，但如果二進(jìn)制日志本身被攻破，加密連接也無能為力。

總結(jié)

以上是生活随笔為你收集整理的二进制安全与MySQL的关系_《高可用MySQL》节选 -- 安全和二进制日志的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。