MySQL Manual | 4.2.3 Опции запуска mysqld, относящиеся к безопасности

MySQL Manual

4 Администрирование баз данных
- 4.2 Общие проблемы безопасности и система привилегий доступа MySQL

Previous / Next / Up / Table of Contents

4.2.3 Опции запуска `mysqld`, относящиеся к безопасности

К безопасности имеют отношение следующие опции mysqld:

--local-infile[=(0|1)]

При установке опции --local-infile=0 теряется возможность выполнять команду LOAD DATA LOCAL INFILE.

--safe-show-database

Если установлена эта опция, команда SHOW DATABASES возвращает только те базы данных, для которых пользователь имеет какую-либо привилегию. Начиная с версии 4.0.2 эта опция отменена и не служит ни для чего (она включена по умолчанию), т.к. сейчас у нас имеется привилегия SHOW DATABASES. Обратитесь к разделу See section 4.3.1 Синтаксис команд GRANT и REVOKE.

--safe-user-create

При установке этой опции пользователь не может создавать новых пользователей с помощью команды GRANT, если у него отсутствует привилегия INSERT для таблицы mysql.user. Чтобы предоставить пользователю доступ именно для создания новых пользователей с теми привилегиями, которые он имеет право предоставлять, для этого пользователя следует установить следующую привилегию:

mysql> GRANT INSERT(user) ON mysql.user TO 'user''hostname';

Задание такой привилегии гарантирует, что этот пользователь не сможет непосредственно вносить изменения ни в одном из столбцов привилегий, а для предоставления привилегий другим пользователям должен будет использовать команду GRANT.

--skip-grant-tables

Установка этой опции запрещает серверу вообще использовать систему привилегий. Это открывает кому бы то ни было полный доступ ко всем базам данных! (После запуска сервера можно заставить его снова использовать таблицы привилегий с помощью команды mysqladmin flush-privileges или mysqladmin reload.)

--skip-name-resolve

При установке данной опции имена хостов не разрешены. Все значения в столбцах Host таблиц привилегий должны быть либо IP-адресами, либо localhost.

--skip-networking

Не разрешайте осуществлять подсоединений по протоколу TCP/IP через сеть (данная опция запрещает такие подсоединения). Все подсоединения к mysqld должны осуществляться посредством сокетов Unix. Эта опция непригодна для систем, в которых используются MIT-потоки, так как MIT-потоки не поддерживают сокеты Unix.

--skip-show-database

Разрешайте выполнение команды SHOW DATABASES только в том случае, если пользователь имеет привилегию SHOW DATABASES. Начиная с версии 4.0.2 в этой опции больше нет необходимости, т.к. теперь доступ может предоставляться избирательно с помощью привилегии SHOW DATABASES.

User Comments

Posted by Bas Meijer on Thursday May 9 2002, @9:01am

[Delete] [Edit]

A simple security enhancement missing in
this list would be for:

[mysqld]
bind-address=127.0.0.1

This means localhost can only connect, and
that's enough for small scale projects. They
won't see port 3306 in portscans anymore.

Add your own comment.

Top / Previous / Next / Up / Table of Contents