Рассмотрим методы и инструменты для повышения безопасности MySQL, а также первоочередные меры необходимые сразу после новой инсталляции этой СУБД. Обращаю ваше внимание, что это логически-самостоятельная серия-продолжение «Безопасность и аудит» из моей давней MySQL-серии «Программное окружение MySQL» (Часть 1, Часть 2).
Обзорно рассмотреть узкие места в безопасности MySQL я предлагаю на примере описания возможностей двух популярных сторонних инструментов, эти задачи успешно решающих. Этим подходом мы убиваем сразу трех зайцев: не только знакомимся с проблемами MySQL и простыми, доступными методами их исправления, но и попутно сравниваем между собой особенности конкурирующих продуктов, позволяющих сделать всю «грязную работу» по наведению порядка в системе автоматически.
Речь пойдет о двух специализированных скриптах из состава сервисного пакета Openark Kit, а также о пакете существенно улучшающего уровень безопасности MySQL — Securich.

Но сначала давайте хотя бы в самых общих чертах сформулируем недостатки модели безопасности MySQL, чтобы дальше использовать этот список как опорный план для всей статьи.
Итак, какие проблемы имеют текущие реализации MySQL?
- Отсутствие встроенных возможностей по созданию и управлению группами пользователей или их ролями (по-крайней мере в таком виде, в котором они известны в других известных СУБД).
- Отсутствие развитой подсистемы управления паролями:
- Нет ограничений по размеру пароля;
- Нет истории операций над паролями и привилегиями;
- Нет измерения сложности и надежности задаваемого пароля;
- Нет минимального срока жизни пароля;
- Нет возможности клонирования настроек, создания множества однотипных учетных записей, управления и мониторинга большого числа пользовательских аккаунтов.
- Настройки по-умолчанию небезопасны.
Я намеренно не упоминаю здесь о более глубоких проблемах в архитектуре MySQL: о неких уязвимых компонентах, потенциально опасных местах в SQL или ошибках в настройках отдельных версий этой СУБД — цель этой серии статей нивелировать лишь базовые неудобства и недочеты, которые перманентно имеют место в этой замечательной СУБД (при её стандартной базовой настройке и установке «из коробки»).
Оглавление этой серии
И изложим мы заявленный выше материал по следующему плану:
- Безопасность и аудит MySQL. Оглавление (эта страничка);
- Такой загадочный GRANT: в чём суть проблемы?
- Безопасная установка: что нужно сделать сразу после свежей инсталляции MySQL?
- Расширенное управление аккаунтами в MySQL;
- Администрирование в стиле Securich;
- Управление ролями через Securich;
- Безопасность и аудит MySQL. Заключение.
Прошлые части серии «Программное окружение MySQL»:
~
Читать этот материал дальше (Такой загадочный GRANT: в чём суть проблемы?).
Игорь Савчук // Системный Администратор, 2012
Оставьте комментарий!