数据库进阶——如何提升数据库的安全性,以MySQL和Redis加固为例

在这里插入图片描述

目录

  • 引出
  • 数据库加固
    • 加固思路
    • MySQL
    • Redis
  • Redis冲冲冲——缓存三兄弟:缓存击穿、穿透、雪崩
    • 缓存击穿
    • 缓存穿透
    • 缓存雪崩
  • 总结

引出

数据库进阶——如何提升数据库的安全性,以MySQL和Redis加固为例


数据库加固

加固思路

  1. 账号配置
    • 应按照用户分配账号,避免不同用户间共享账号
    • 应删除或锁定与数据库运行、维护等工作无关的账号
    • 删除过期账号
  2. 权限配置
    • 在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限
  3. 口令安全
    • 对于采用静态口令进行认证的数据库,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类
  4. 日志配置
    • 数据库应配置日志功能,记录相关日志。
  5. 安全补丁
    • 在保证业务可用性的前提下,经过分析测试后,可以选择更新使用最新版本的补丁
  6. 访问控制
    • 通过数据库所在操作系统或防火墙限制,只有信任的IP地址才能通过监听器访问数据库

MySQL

  1. 账号配置

    • 删除不需要的数据库账号。

        DROP USER user
      
    • 应按照用户分配帐号,避免不同用户间共享帐号。

  2. 口令安全

    • 不使用默认密码和弱密码。

        #修改密码命令  
        mysql> UPDATE user set password=PASSWORD('test!p3’) WHERE user='root’;
      
  3. 权限配置

    • 禁止MySQL以系统管理员账号权限运行,使用非管理员专用账号来运行mysql服务。

      • Windows系统

        直接打开任务管理器,查看运行mysql进程的操作系统账号,不能为administrator账号

      • Linux系统

          #查看mysql服务的运行账号是否为root或其他高权限账号  
          ps -ef | grep mysql
        
    • 数据库账户权限配置

      MySQL数据库下的user表和db表中存放着可以授予数据库用户的权限,确保只有管理员账号才能访问所有数据库。可以访问mysql数据库的用户或许可以查看密码哈希值、修改用户权限等等。

        #查看数据库授权情况。  
        mysql> use mysql;  
        mysql> select * from user;  
        mysql> select * from db;  
        #授予指定用户权限指定表的权限  
        mysql> Grant select,insert,update,delete on tablename to ‘username’@’hostname’;
      

      外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

  4. 日志配置

    • 根据需求开启对应日志的审计功能。

        #开启错误日志审计,打开my.ini(Windows)或my.cnf(Linux),在[mysqld]下添加  
        log-error="/var/log/mysqld.log"
      
  5. 访问控制

    • 修改MySQL默认端口3306。

        #打开my.ini或者my.cnf,在[mysqld]下修改  
        port=3306        #修改成合适端口
      
    • 网络访问限制,在防火墙中做限制,只允许与指定的 IP 地址与3306端口(或MySQL数据库的指定端口)通讯。

        #创建指定IP的远程用户  
        mysql> GRANT ALL privileges on 库名.表名 to '用户名'@'IP地址' identified by '密码' with grant option;  
        mysql> flush privileges;
      
  6. 其他配置。

    • 安装最新的安全补丁日志,通过SELECT VERSION()查看版本。

Redis

  1. 口令配置

    • 开启redis密码,并设置高复杂度密码。

        #编辑redis.conf  
        requirepass test123!@#;
      
  2. 授权管理

    • 禁止使用root启动redis,使用普通账户启动redis。

    • 限制redis文件目录访问权限。

        $chmod 700 /var/lib/redis   #redis目录  
        $chmod 600 /etc/redis/redis.conf  #redis配置文件
      
    • 禁用或重命名危险命令。

        #在redis.conf配置文件添加  
        rename-command CONFIG CONFIG_1        #重命名命令CONFIGCONFIG_1          
        rename-command FLUSHDB ""              #禁用此命令
      
  3. 访问控制

    • 修改默认端口6379。

        #修改redis.conf配置文件:  
        port 5656
      
    • 配置redis仅监听在指定IP地址。

        #修改redis.conf配置文件:  
        bind 127.0.0.1 192.168.1.12
      

Redis冲冲冲——缓存三兄弟:缓存击穿、穿透、雪崩

缓存击穿

缓存击穿:redis中没有,但是数据库有

顺序:先查缓存,判断缓存是否存在;如果缓存存在,直接返回数据;如果缓存不存在,則查询数据库,将数据库的数据存入到缓存

在这里插入图片描述

解决方案:将热点数据设置过期时间长一点;针对数据库的热点访问方法上分布式锁;

缓存穿透

缓存穿透:redis中没有,数据库也没有

在这里插入图片描述

解决方案:

(1)将不存在的key,在redis设置值为null;

(2)使用布隆过滤器;

原理:https://zhuanlan.zhihu.com/p/616911933

在这里插入图片描述

布隆过滤器:

如果确认key不存在于redis中,那么就一定不存在;

它说key存在,就有可能存在,也可能不存在! (误差)

在这里插入图片描述

布隆过滤器

1、根据配置类中的 key的数量 ,误差率,计算位图数组【二维数组】

2、通过布隆过滤器存放key的时候,会计算出需要多少个hash函数,由hash函数算出多少个位图位置需要设定为1

3、查询时,根据对应的hash函数,判断对应的位置值是否都为1;如果有位置为0,则表示key一定不存在于该redis服务器中;如果全部位置都为1,则表示key可能存在于redis服务器中;

缓存雪崩

缓存雪崩:

Redis的缓存雪崩是指当Redis中大量缓存数据同时失效或者被清空时,大量的请求会直接打到数据库上,导致数据库瞬时压力过大,甚至宕机的情况。

造成缓存雪崩的原因主要有两个:

1.相同的过期时间:当Redis中大量的缓存数据设置相同的过期时间时,这些数据很可能会在同一时间点同时失效,导致大量请求直接打到数据库上。

2.缓存集中失效:当服务器重启、网络故障等因素导致Redis服务不可用,且缓存数据没有自动进行容错处理,当服务恢复时大量的数据同时被重新加载到缓存中,也会导致大量请求直接打到数据库上。

预防缓存雪崩的方法主要有以下几种:

1.设置不同的过期时间:可以将缓存数据的过期时间分散开,避免大量缓存数据在同一时间点失效。

2.使用加锁:可以将所有请求都先进行加锁操作,当某个请求去查询数据库时,如果还没有加载到缓存中,则只让单个线程去执行加载操作,其他线程等待该线程完成后再次进行判断,避免瞬间都去访问数据库从而引起雪崩。

3.提前加载预热:在系统低峰期,可以提前将部分热点数据加载到缓存中,这样可以避免在高峰期缓存数据失效时全部打到数据库上。

4.使用多级缓存:可以在Redis缓存之上再使用一层缓存,例如本地缓存等,当Redis缓存失效时,还能够从本地缓存中获取数据,避免直接打到数据库上。

在这里插入图片描述

本地缓存:ehcache oscache spring自带缓存 持久层框架的缓存


总结

数据库进阶——如何提升数据库的安全性,以MySQL和Redis加固为例

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/419395.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

工厂模式:没你想像的那么难

工厂模式 工厂模式是一种创建型设计模式,它允许创建对象而无需指定将要创建的对象的具体类。它通过将对象的创建委托给一个单独的方法或类来完成,从而隐藏了对象的实例化逻辑。这样可以提高代码的灵活性,减少了代码中的重复和耦合。 在工厂…

css【详解】—— 圣杯布局 vs 双飞翼布局 (含手写清除浮动 clearfix)

两者功能效果相同&#xff0c;实现方式不同 效果预览 两侧宽度固定&#xff0c;中间宽度自适应&#xff08;三栏布局&#xff09;中间部分优先渲染允许三列中的任意一列成为最高列 圣杯布局 通过左右栏填充容器的左右 padding 实现&#xff0c;更多细节详见注释。 <!DOCTYP…

MySQL:数据库中有哪些锁

1、全局锁 加上全局锁后整个数据库就处于只读状态了&#xff0c;这时其他线程执行以下操作&#xff0c;都会被阻塞&#xff1a; 对数据的增删改操作&#xff0c;比如 insert、delete、update等语句&#xff1b;对表结构的更改操作&#xff0c;比如 alter table、drop table 等…

【AI+应用】怎么快速制作一个类chatGPT套壳网站

最近有人问我&#xff0c; 看了我之前写的一篇文章 [人工智能] AI浪潮下Sora对于普通人的机会 &#xff0c; 怎么做一个类chatGPT的套壳网站&#xff0c;是从0开始做么。 对于普通人来说&#xff0c;万事不懂先AI&#xff0c; AI找不到答案搜索google或百度。对于程序员来说…

电梯物联网之梯控相机方案-防止电瓶车进电梯

梯控现状 随着电梯产品在智能化建筑的日益普及,对于电梯的智能化管理 安全性需求 的要求越来越迫切。尤其今年来随着电瓶车的大量普及&#xff0c;发起多起楼道、轿厢电瓶车着火恶性事件&#xff0c; 造成了极大的社会 负面影响。控制电瓶车进入单元门&#xff0c;楼道以及电梯…

设计师面试作品集注意!避免以下6个陷阱!

作品集是设计师提交简历和面试的关键。因此&#xff0c;与其担心自己学历低&#xff0c;不懂谈判技巧&#xff0c;不如多关注作品集。看了很多设计师的简历和作品集&#xff0c;发现下面的坑经常被踩。为了避免这些坑&#xff0c;建议您选择即时设计来制作作品集&#xff0c; …

如何压缩pdf文件?几种高效压缩方法收好

如何压缩pdf文件&#xff1f;在日常工作和生活中&#xff0c;我们经常会在工作中使用pdf文件。然而&#xff0c;有时候过大的PDF文件会给我们的传输和存储带来不便。那么&#xff0c;如何有效地压缩PDF文件呢&#xff1f;本文将为你详细介绍几种简单实用的方法&#xff0c;让你…

MySQL 用了哪种默认隔离级别,实现原理是什么?

MySQL 的默认隔离级别是 RR - 可重复读&#xff0c;可以通过命令来查看 MySQL 中的默认隔离级别。 RR - 可重复读是基于多版本并发控制&#xff08;Multi-Version Concurrency Control&#xff0c;MVCC &#xff09;实现的。MVCC&#xff0c;在读取数据时通过一种类似快照的方…

优思学院|3步骤计算出Cpk|学习Minitab

在生产和质量管理中&#xff0c;准确了解和控制产品特性至关重要。一个关键的工具是Cpk值&#xff0c;它是衡量生产过程能力的重要指标。假设我们有一个产品特性的规格是5.080.02&#xff0c;通过收集和分析过程数据&#xff0c;我们可以计算出Cpk值&#xff0c;进而了解生产过…

AI 越来越强大,创造性工作会被取代吗?

AI发展迅猛&#xff0c;据不完全数据统计2023年AI大模型就有200之多&#xff0c;文心一言、通义千问、讯飞星火以及一下不知名的聚合平台 雨后春笋般的出现&#xff0c;那么AI是否可以直接去掉现在的部分工作呢&#xff1f; 针对以上咱们针对AI技术对工作影响做一下分析&#x…

SpringBoot【问题 05】PostgreSQL数据库启用SSL后使用默认配置进行数据库连接(Navicat工具与Java程序)

官网SSL说明&#xff1a;https://www.postgresql.org/docs/9.1/libpq-ssl.html 1.配置 1.1 文件 使用SSL需要的4个文件&#xff0c;名称要一致&#xff1a; 客户端密钥&#xff1a;postgresql.keyJava客户端密钥&#xff1a;postgresql.pk8客户端证书&#xff1a;postgresq…

vue中element-ui中的el-button自定义icon图标

实现&#xff1a; button的icon属性自定义一个图标名称&#xff0c;这个自定义的图标名称会默认添加到button下i标签的class上&#xff0c;我们只需要设置i标签的样式就可以了。 1. 控制台显示的代码 2 .图片展示 3. 按钮上使用自定义的icon 完整代码&#xff1a; <el-but…

初学者如何使用QT新建一个包含UI界面的C++项目

文章目录 一、下载并安装QT51、下载安装包2、注册/登录账号3、安装qt6 二、新建QT Widget项目1、新建项目并且运行2、易错点&#xff1a;可能运行成功得到UI界面但是会报错&#xff08;原因是使用了中文路径&#xff09; 一、下载并安装QT5 1、下载安装包 进入下载网址 Windo…

钉钉机器人发送折线图卡片 工具类代码

钉钉机器人 “创建并投放卡片 接口 ” 可以 发送折线图、柱状图 官方文档&#xff1a;创建并投放卡片 - 钉钉开放平台 0依赖、1模板、2机器人放到内部应用、3放开这个权限 、4工具类、5调用工具类 拼接入参 卡片模板 自己看文档创建&#xff0c;卡片模板的id 有用 0、依赖…

c语言经典测试题8

在c语言经典测试题6的第一题&#xff0c;大家是否想过可不可以将递归参数改为s呢&#xff1f;或许有的人已经试过了&#xff0c;但是发现好像不会有结果&#xff0c;其实是因为s为后置&#xff0c;先试用后加1&#xff0c;然而我们这个是在s出了函数之后才会运行加1操作&#x…

响应式编程

编程范式 编程范式是一种编程风格或方法论&#xff0c;它规定了解决问题和实现计算机程序的基本方法。不同的编程范式强调不同的编程思想和原则。 面向对象编程 函数式编程 lambda是重要特征&#xff0c;以函数为基本单位。 响应式编程 异步数据流交互性强&#xff0c;实时…

《HelloGitHub》第 95 期

兴趣是最好的老师&#xff0c;HelloGitHub 让你对编程感兴趣&#xff01; 简介 HelloGitHub 分享 GitHub 上有趣、入门级的开源项目。 这里有实战项目、入门教程、黑科技、开源书籍、大厂开源项目等&#xff0c;涵盖多种编程语言 Python、Java、Go、C/C、Swift...让你在短时间内…

FRM模型十二:极值理论

目录 极值理论介绍GEVPOT 代码实现 极值理论介绍 在风险管理中&#xff0c;将事件分为高频高损、高频低损、低频高损、低频低损。其中低频高损是一种非常棘手的损失事件&#xff0c;常出现在市场大跌、金融体系崩溃、金融危机以及自然灾害等事件中。 由于很难给极端事件一个准…

案例研究|DataEase助力众陶联应对产业链数据可视化挑战

佛山众陶联供应链服务有限公司&#xff08;以下简称为“众陶联”&#xff09;成立于2016年&#xff0c;是由34家陶瓷企业共同创办的建陶行业工业互联网平台&#xff0c;股东产值占整个行业的22.5%。众陶联以数据赋能为核心&#xff0c;积极探索新的交易和服务模式&#xff0c;构…

智能高侧开关PC8818单通道 40V 80mΩ提供保护和诊断功能高边开关芯片

概述 PC8818是一个80mΩRDS&#xff08;ON&#xff09;高侧开关&#xff0c;提供充分的保护和诊断功能。此设备有两个版本。对于版本A&#xff0c;设备报告FLTn引脚开路排水结构的故障情况。对于版本B&#xff0c;其ISNS引脚输出小电流与流经内部的电流成比例功率FET。用户可以…