有关mysql最新漏洞的一些建议
由于近段时间mysql官方发布了最新漏洞以及我司接到的一些客户放映vps被黑的情况。我司有以下几点建议:
1、漏洞情况:Mysql 最近曝出严重漏洞,Security vulnerability in MySQL/MariaDB 在知道用户名的情况下(如root),直接反复重试(平均大约256次)即可登入。
2、一些利用mysql漏洞被黑的具体现象:请查看以下链接:
1)http://www.myhack58.com/Article/60/61/2012/35467.htm
2)http://hi.baidu.com/wardylong/item/c500180eeeb9216ed55a1165
3、针对上述情况,我司建议客户自行做好以下一些安全操作:
有关mysql数据库安全属性设置:
(1)mysql 的相关目录添加读写权限
1. mysql 安装目录 mysql 用户可读写
2. mysql 安装目录所在分区根目录 mysql 用户读取属性
3. E:\MySQL\MySQL Server 5.5\my.ini mysql 用户可读写
我司默认安装路径如下图:
Everyone权限可有可无
(2)MYSQL运行在非System帐号下的方法
先创建一个账号如:mysql55设置好密码,记住密码,分配好租,如GUETST,然后找到mysql安装目录添加一个mysql账号如下图:
给mysql的data目录给mysql账号读写权限,然后在管理工具---服务---mysql55服务---属性—登陆如下图:
最后重新启动mysql服务即可。