MySQL数据库安全权限控制管理思想

MySQL数据库安全权限控制管理思想

制度与流程控制

1.1 项目开发制度流程

开发环境功能测试压力测试阿里云主机上线,通过较为完善的项目开发流程控制,防止很多潜在的问题隐患发生(目前公司只有开发测试直接到生产环境)。

1.2 数据库更新流程

开发人员提交需求开发主管审核 DBA审核执行开发流程的数据库更新测试步骤。



最后在阿里云上线执行。需要说明的是在一开始提交需求,就会同时抄给以上人等。



通过较为完善的数据库更新流程控制,可以防止很多潜在的数据丢失破坏问题发生。

1.3 DBA参与项目数据库设计

在开发环节上,DBA最好可以参与数据库的设计与审核,从源头上减少降低不良设计及语句的发生,如果有可能可以做所有语句的审核工作,包括select,这个需要评估工作量是否允许。

1.4 各种操作申请流程

1) 开发测试等人员权限申请流程

需要权限直接发邮件并create task到DBA,协商后予以申请权限。

2) 数据库更新执行流程

A. 涉及到生产数据库重大更新,比如订单取消等,发邮件到技术总监以及DBA,判断业务是否允许,完成上述数据库更改。
B. 涉及到生产数据库小规模变更,比如产品要求做刷单操作,直接发邮件给DBA,抄送技术总监和开发负责人等。

3) DBA定期巡检数据库SQL语句,该优化的SQL提出建议,发邮件给相关开发责任人, 并抄送技术总监。一般提出优化SQL事宜需要1-3个工作日完善,需和开发等协商。

1.5 定期对内部人员培训

定期给开发及相关人员培训,还是从源头上减少降低不良设计及SQL语句的发生,并通过培训告诉大家数据库性能的重要性,让大家提升性能意识。

1) 数据库设计规范及制度。

2) SQL语句执行优化,性能优化技巧等。

3) 数据库架构设计等内容。

账户权限控制

2.1 内部开发等人员权限分配

1) 权限申请流程要设置严格点,让需求不明确者知难而退。

2) 开发和功能测试环境可以开放一些权限,阿里云正式环境严格控制数据库写权限,并且读权限和对外业务服务器分离。

3) 开发人员线上数据库权限分配,给单独的不对外服务的正式从库只读权限,不能分配线上正式主从库写权限。程序账号授权该库的SELECT,DML操作。

4) 如公司领导,开通权限时问清楚做什么,发邮件回复,注明主机IP、用户名、密码、权限范围,多提醒操作注意事项。

5) 特殊账号,由DBA专人控制,禁止在任何客户端上执行特殊账号操作(如只能localhost或其他策略)。

6) 临时在生产库申请账号,需要发邮件注明事项,发邮件给DBA。

2.2 Web账户权限分配制度

1) 写库账号默认权限为select,insert,update,delete,不要给建表改表(create,alter)的权限,更不能给all权限。

2) 读库账号默认权限为select(配合read-only参数用)。一定要确保从库是只读的(对所有人员)。

3) 根据需要,最好专库专账号,不要一账号管理多个库。碎库特别多的,根据情况处理。

4) web和数据库分离的服务器的授权可以根据web服务器数量多少按IP或网段来授权。

5) 安全性和方便管理,是矛盾的,要尽量达到一个平衡的状态,如何使平衡就要根据具体公司和业务来衡量了。

2.3 web账户授权实战案例

生产环境主库用户的账号授权:

GRANT SELECT,INSERT,UPDATE,DELETE ON blog.*TO 'blog'@10.0.0.%' identified by 'TonyS1$521';

说明:这里表示给10.0.0/24的用户blog管理blog数据库的所有表(*表示所有库)只读权限和DML权限。密码为TonyS1$521。

生产环境从库用户的授权:

GRANT SELECT ON blog.*TO 'blog'@'10.0.0.%'identified by ' TonyS1$521';

当然从库除了做SELECT 的授权外,还可以加read-only等只读参数。

2.4 生产环境读写分离账户设置

给开发人员的读写分离用户设置,除了IP必须要不同外,我们尽量为开发人员使用提供方便。因此,读写分离的地址,除了IP不同外,账号,密码,端口等看起来都是一样的,这才是人性化的设计,体现了DBA人员的专业。

主库(尽量提供写服务):blog TonyS1$521 ip:10.0.0.179 port 3306

从库(今提供读服务):  blog TonyS1$521 ip:10.0.0.180 port 3306

提示: 两个账号的权限是不一样的

提示:从数据库的设计上,对于读库,开发人员应该设计优先连接读库,如果读库没有,超时后,可以考虑主库,从程序设计上来保证提升用也要根据主库的繁忙程度来综合体验,具体情况都是根据业务项目需求来抉择。

数据库客户端访问控制

3.1 只允许特定IP和账号使用,要登记清楚。

3.2 限制使用web连接的账号管理数据库,根据用户角色设置指定账号访问。

3.3 按开发及相关人员根据职位角色分配管理账号。

3.4 统一所有数据库账号登录入口地址。禁止所有开发私自上传等数据库管理等。

3.5 远程维护主机和数据库:开通vpn,跳板机,内部IP等管理数据库。

系统层控制

4.1 开发环境、生产环境限制或禁止开发人员ssh root 管理,通过sudo细化权限,使用日志审计。

4.2 禁止非管理人员管理有数据库web client端的服务器的权限。

读库分业务读写分离

细则补充:对数据库的select 等大量测试,统计,备份等操作,要在不对外提供select的单独从库执行。因为在主库上执行有表锁(如果访问数据表很大时)。

主从使用规则

5.1 在master上主要操作为DML、DDL和部分SELECT操作‘

5.2 在slave上主要是SELECT查询操作。

定期巡检

6.1 慢查询日志分析;白名单机制上线前审核所有SQL;

6.2 定期检查数据库内存使用命中率;

6.3 定期检查主从复制是否一致;

6.4 定期做好备份恢复测试检查数据库备份文件的有效性;

6.5 定期检查主从数据库中数据表设计是否有多余索引;

6.6 定期检查数据库锁情况;

6.7 分析数据库TPS和QPS情况;

6.8 分析数据库主机资源使用比率内存、CPU、磁盘I/O阻塞、网络等。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 205,132评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,802评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,566评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,858评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,867评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,695评论 1 282
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,064评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,705评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,915评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,677评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,796评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,432评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,041评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,992评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,223评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,185评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,535评论 2 343

推荐阅读更多精彩内容