如何如何控制数据库服务器安全的权限

　　【内容声明】本文收集整理于互联网,不确保内容真实性和质量度,仅供参考!若有服务器产品相关问题,请咨询[YINGSOO]在线客服,获取专业解答!

独立服务器

　　任何服务器，安全与性能是两个永恒的主题。作为企业的信息化安全人员，其主要任务就是如何在保障服务器性能的前提下提高服务器的安全性。而要做到这一点，服务器的访问权限控制策略无疑是其中的一个重要环节。笔者企业最近上了一台新的数据库服务器，我为他设计了一些权限控制手段。这些方法虽然不能够百分之百的保证数据库服务器的安全性，但是，这些仍然是数据库服务器安全策略中必不可少的因素。他对提高数据库服务器的安全性有着不可磨灭的作用。

　　其实，这些控制策略，不但对数据库服务器有效;对其他的应用服务器仍然具有参考价值。

　　一、给用户授予其所需要的最小权限

　　不要给数据库用户提供比其需要的还要多的权限。换句话说，只给用户真正需要^{<香港高防云服务器>}的、为高效和简洁地完成工作所需要的权限。这个道理很容易理解。这就好像防止职业贪污一样。你若只给某个员工其完成工作所必需的费用，一分都不多给，那其从哪里贪污呢?

　　如从数据库服务器的角度来考虑这个问题，这就要求数据库管理员在设置用户访问权限的时候，注意如下几个方面的问题。

　　1.是要限制数据库管理员用户的数量。在任何一个服务器中，管理员具有最高的权限。为了让数据库维持正常的运转，必须给数据库配置管理员账户。否则的话，当数据库出现故障的时候，就没有合适的用户对其进行维护了。但是，这个管理员账户的数量要严格进行限制。不能为了贪图方便，把各个用户都设置成为管理员。如笔者企业，在一台数据库服务器中运行着两个实例，但是，只有一个数据库管理员负责数据库的日常维护。所以，就只有一个管理员账户。

　　2.是选择合适的账户连接到数据库。一般数据库的访问权限可以通过两种方式进行控制。一是通过前台应用程序。也就是说，其连接到数据库是一个统一的账户，如管理员账户;但是，在前台应用程序中设置了一些关卡，来控制用户的访问权限。这种方式虽然可以减少前台程序开发的工作量，但是，对于数据库服务器的安全是不利的。二是在前台程序中，就直接利用员工账户的账号登陆到数据库系统。这种做法虽然可以提高数据库的安全性，但是，其前台配置的工作量会比较繁琐。而笔者往往采用折中的方法。在数据库中有两类账户，一类是管理员账户，只有前台系统管理员才可以利用这类账户登陆到数据库系统。另外一类是普通账户，其虽然可以访问数据库中的所有非系统对象，但是，他们不能够对数据库系统的运行参数进行修改。然后具体数据对象的访问，则通过前台应用程序控制。如此，前台应用程序普通员工只需要通过同一个账户连接到数据库系统。而系统管理员若需要进行系统维护，如数据库系统备份与还原，则可以通过数据库管理员账户连接到数据库系统。则即方便了前台应用程序的配置效率，又提高了数据库服务器的安全性。总之，我们的目的就是要限制以数据库管理员身份连接到数据库的用户数量。

　　在其他应用服务器中，也有管理员账户与普通账户之分。在权限分配的时候，也最好只给用户授予其需要的最小权限，以保障数据库服务器的安全。

　　二、取消默认账户不需要的权限

　　在建立账户的时候，服务器往往给给其一些默认的权限。如在数据库中，Public是授予每个用户的默认角色。任何用户，只要没有指定具体的角色，则其都可以授予Public组的权限。这其中，还包括执行各种SQL语句的权限。如此，用户就有可能利用这个管理漏洞，去访问那些不允许他们直接访问的包。因为这个默认权限，对于那些需要他们并且需要合适配置和使用他们的应用来说，是非常有用的，所以，系统默认情况下，并没有禁止。但是，这些包可能不适合与其他应用。故，除非绝对的需要，否则就应该从默认缺陷中删除。

　　也就是说，通常某个账户的默认权限，其是比较^{<新加坡独立服务器>}大的。如对于数据库来说，其账户的默认权限就是可以访问所有的非系统对象表。数据库设计的时候，主要是为了考虑新建用户的方便。而且，新建用户的时候，数据库确实也无法识别这个用户到底能够访问哪些用户对象。但是，对于企业应用系统来说，若给每个员工都默认具有这么大的访问权限，那则是很不安全的。

　　笔者的做法是，会把应用系统的默认用户权限设置为最小，有些甚至把默认用户权限全部取消掉。这就迫使服务器管理员在建立账户的时候，给账户指定管理员预先设定的角色。这就可以有效的防止管理员“偷懒”。在建立账户的时候，不指定角色。

　　三、正确的鉴别客户端

　　正确的鉴别客户端的合法性，这是提高应用服务器安全性的一个不二法则。有时候，为了服务器安全性考虑，必须要求对客户端的合法性进行鉴别。对此，我们可以通过如下措施来管理客户端。

　　一是对于具有管理员账户的角色进行远程鉴别。虽然从理论上说，可以对任何一台客户端都采取远程鉴别，如通过主机名或者IP地址进行合法性鉴别。但是，这么做的话，往往太过于小题大做，会增加管理上的烦恼。或者说，投入与回报不成正比。所以，在实际配置中，笔者不会对每一台客户端都进行合法性验证。而只对于利用管理员账户登陆服务器的客户端才进行合法性验证。如可以在数据库服务器上进行设置，只有哪几个IP地址才可以通过管理员角色连接到数据库系统中。通过对客户端身份的合法鉴别，就可以再进一步提高数据库服务器管理员角色账户的安全性。即使管理员账户与口令被窃取，有客户端身份验证这一功能，也不怕他们进行非法攻击。

　　二是不要太过于相应客户端的自我保护功能。如在某个品牌的数据库系统中，有一种远程鉴别功能。他会处理连接到数据库的远程客户的用户鉴别问题。数据库绝对信任任何客户都已经进行了正确的鉴别。但是，我们都知道，在任何情况下，我们不能够相信客户端会正确地执行操作系统鉴别。故，往往这个安全特性只是作为摆设。对于数据库服务器来说，一个比较安全的做法是，不采用这种远程鉴别功能，而是在服务器上对客户端进行统一的鉴别。如在服务器上，通过身份认证功能来确保连接到服务器上的客户端的合法性与真实性。

　　三、数据库系统最好不要穿透防火墙

　　如果把数据库服务器放置在防火墙的后面，则最好在任何情况下，都不要穿透该防火墙。否则的话，会让数据库系统失去防火墙的保护，从而把数据库暴露在互联网下，成为众多黑客茶余饭后“调戏”、“攻击”的对象。

　　例如，不要打开数据库的1521端口来与互联网进行连接。如果用户执意要这么做的话，则会引起很多重要的安全弱点。因为攻击者可以凭借这个弱点，打开更多的穿透防火墙的端口、多线程操作系统服务器的问题，以及泄漏防火墙后面应用服务器中的重要信息。再者，这个弱点还有可能被用来探测数据库服务器的关键细节，如利用窃听监听器来获得关键信息。因为监听器会监听该数据库的运行轨迹、登陆信息、标识信息、数据库描述服务以及服务名等等。

　　所以，执意把放在企业防火墙背后的应用服务器中的某个关键端口，设置成为穿透防火墙的端口是一种很不好的安全习惯。虽然其可以带来管理上的方便，但是，出于安全考虑，YINGSOO还是不建议管理员进行如此的配置。

　　个方面，是大家在数据库服务器部署的时候，容易忽视的几个地方。希望这篇文章，能够给大家一些提醒。

　　YINGSOO租用日本服务器_低至148元/月_注册领代金券

　　稳定,性价比超高,按需配置购买,满足不同需求,租用日本服务器免备案,高级DDOS防护,专业数据灾备方案,53小时贴心服务租用日本服务器.

　　https://www.yingsoo.com/products/cloud-jp.html?tg=wz60

　　<扩展阅读：香港服务器应该有哪些特性>

　　香港服务器由于免备案空间和平稳的国际性网络带宽互联网,是很多人挑选国外服务器的优选,殊不知,假如挑选一个高品质和合格的香港服务器,网址的中后期发展趋势是有可靠性确保的。那^{<日本服务器的优势有哪些>}麼香港服务器应当有着什么特点呢?下边就和网编一起来瞧瞧吧。

　　1、可扩展性

　　一个公司要长期的立足于,就需要有非常好的发展战略方位,可是方位并不是一蹴而就就能产生的。由于公司的业务流程還是经营规模都会持续的转变,必须与公司的发展趋势造成持续的磨合期情况,因而就需要确保服务器具备可扩展性的特性。

　　假如服务器不具有的可扩展性的规定得话,当用户量提升时,便会在短期内内取代使用价值数十万乃至几十万的服务器,针对一切公司而言全是很大的成本费开支,另外也是不可以承担的严厉打击。以便确保服务器具备可扩展性的特性,因而人们必须在了解服务器上是不是有能拓展的室内空间和硬件软件配备扩大。

　　2、易使用性

　　服务器的便捷性简易的了解便是服务器是不是非常容易实际操作,客户网站导航是不是健全,汽车底盘设计方案是不是个性化,是不是有重要的修复作用,是不是有电脑操作系统备份文件,是不是有充足的学习培训适用这些。

　　服务器的作用是比较多的,和一般的电脑上对比也要繁杂,不但是以系统配置看来,大量的還是手机软件配备的层面。由于服务器要想完成大量的作用,就必须大量的手机软件适用。可是较为分歧的一面便是,服务器上的系统软件安裝过多得话,将会会造成服务器性能指标降低,毫无疑问给技术人员实际操作产生不便。这就规定服务器具有易使用性。

　　3、易用^{<佛山BGP服务器>}性

　　针对合格的服务器而言,要考量的基础规范是易用性,这关键反映在服务器是不是可以考虑长期性稳定工作的规定,是不是会常有难题等层面。以便考虑中国中小型企业客户的要求,blueHost中国站依次发布了中国香港Windows服务器和Linux服务器,自打BlueHost香港服务器发布至今,它早已获得了很多客户的适用。针对发展趋势亚洲地区业务流程的客户需求而言,租赁香港服务器是一个非常好的挑选。

　　一般来说,服务器必须连续地工作中,这也是服务器务必具备很高可靠性的直接原因。非常是像一些大中型互联网企业一样,尤其是他们的网址服务器也是这般。针对这种服务器而言,算的上的开机频次也就是只能一次的,那便是宣布开机应用的那一次,在此之后,它一直工作中到完全报费。假如服务器不具有易用性得话,一旦出了难题,互联网单位将会会在短期内内没法再次一切正常运行,它是所有人都没法接纳的。

　　4、易管理性

　　服务器的易管理性也是十分关键的一个特点。都了解服务器必须不断工作中,但不可以确保服务器不容易错误。尽管服务器在可靠性层面有充足的安全系数,但它也应当必须的对策来防止不正确,为此迅速发现问题并在难题产生时立即维护保养他们。这不但减少了服务器错误的几率,并且合理地更改了服务器维护保养的高效率。

　　服务器的易管理性还主要表现在服务器是不是有智能化智能管理系统、是不是有全自动警报作用、是不是有单独的智能管理系统等。只能那样,管理人员才可以便捷地管理方法和高效工作。

　　YINGSOO电话：400 630 3752