安全是有分量的

cdn防护_菲律宾高防服务器_原理

2021-05-05 13:05栏目:应用

cdn防护_菲律宾高防服务器_原理

无论您运行的是Microsoft的SQL Server(即将在Linux上运行)还是开源MySQL,您都需要锁定数据库,以使您的数据保持私有和安全。这11个步骤将指导您了解数据库安全的一些基本原则以及如何实现它们。与强化的web服务器配置相结合,安全的数据库服务器将防止应用程序成为您网络的入口点,并防止您的数据最终转储到internet上。在配置新的SQL server时,请记住从一开始就考虑到安全性;它应该是常规过程的一部分,而不是追溯应用程序,因为一些关键的安全措施要求对安装不安全的数据库服务器和应用程序进行基本的配置更改。1隔离数据库服务器生产数据库服务器应尽可能与其他应用程序和服务隔离。专用数据库服务器占用空间较小,因此攻击面较小,无需担心资源争用或流量冲突。操作系统应该是精简的,只安装和运行必要的服务。除非数据库服务器需要,否则不要安装其他应用程序。根据环境的大小,应考虑将SQL server放在受限制的网段/VLAN中,以便只有经过授权的流量才能传递给它。通常,只有应用程序服务器或web服务器将直接与数据库通信,因此可以制定相当严格的网络策略来防止非法连接。这应该不用说,但是您不应该在端口1433/1434(MSSQL)和3306/3307(MySQL)上打开数据库服务器到internet。2定制DB安装MSSQL和MySQL都提供了大量的附加特性,对于任何特定的实例来说,大多数特性可能都不需要。通过移除不需要的部分,可以减少可能的攻击。如果您想保留一个尚未使用的特性,请在测试或开发环境中执行它—最好尽可能地将生产锁定,尤其是在确定新模块可能对您的环境产生什么影响之前。三。保持更新MSSQL和MySQL都是定期修补的,所以请确保您的版本是最新的。大多数被利用的漏洞已经被发现一年多了,因此及时安装安全补丁可以通过简单地封闭这些漏洞来防止大多数攻击。有一个定期的补丁程序和协议可以帮助在测试环境中实现更新,这样就可以在不中断生产的情况下发现任何负面影响。许多商店缺乏这种奢华,他们只凭直觉行事,直接将更新安装到生产中,并希望得到最好的结果。幸运的是,通常这是可行的,云盾网安DDoS云防御,但如果没有,它可能会很快坏掉,所以至少要了解您的回滚选项和过程,以及补丁程序正在更改的确切内容。4限制数据库进程运行数据库服务的用户决定了数据库进程对服务器其余部分的访问权限,包括文件系统、执行程序的能力等等。与大多数Linux应用程序一样,MySQL通常在一个专用的MySQL用户帐户下运行,对服务器其余部分的权限最小。您可以用一个简单的ps命令来验证这一点,并确保MySQL没有配置为以root用户身份运行,这种情况肯定会发生,特别是在极端情况下,例如故障排除,一旦危机得到避免,就不会重新配置。但在Windows安装中,MSSQL通常以本地系统或管理员帐户的身份运行,从而允许数据库进程(包括存储过程和xp_cmdshell等命令shell接口)完全访问。理想情况下,MSSQL应该作为具有最低权限的专用非管理员本地帐户运行。较新的MS安装向导甚至可以为您自动执行此步骤,因此,如果您要安装新的服务器,请务必配置此选项。其他SQL服务(如SQL代理)也应作为受限制的本地帐户运行,并根据需要授予权限,例如备份目录。不采取这一步骤可能会使受损的数据库服务器危及计算机的其余部分,并可能渗入网络。5限制SQL流量如步骤1所述,数据库服务器通常只有另一个(或多个)连接到它。如果是这种情况,那么对数据库端口上的服务器的访问应该在其他任何地方被阻止。通过只允许进出指定IP地址的SQL流量,您可以确保防火墙内的恶意参与者或受感染的客户端不会攻击您的服务器。在某些情况下,客户机将需要直接连接到数据库服务器本身,例如使用厚客户端前端应用程序。同样的逻辑也适用于此,关闭cc手机防御级别调,将SQL连接限制到需要它的特定IP(或至少IP段)。因为这些都是端点,所以一定要正确保护它们,因为恶意软件可以扫描和攻击SQL服务器。您可以使用Linux上的iptables、Windows防火墙,或者最好是专用防火墙设备来处理这个问题。6分配权限时使用最小权限与任何系统上的用户一样,数据库用户只应拥有执行其职责所需的访问权限,这也被称为最小特权原则。尽可能远离MySQL中的"ALL"授权和MSSQL中的sysadmin角色成员资格。如有必要,考虑授予对视图的读取权限,而不是直接授予表的读取权限,以保护敏感字段。存储过程、维护计划和其他自动化任务应作为具有适当权限集的专用用户运行。此措施可防止数据库服务器的任何一部分,或任何恶意或受损用户破坏整个系统。通常,应用程序说明会要求您将其用户置于完全访问权限的管理员角色中。这违反了一般的最佳实践,并且通常表示要么是草率的编程,需要比它应该更多的访问,要么是希望从支持考虑中删除安全性,这两种情况都不会考虑到您的数据的最大利益,所以请始终考虑实现应用程序帐户会如何影响您的总体恢复能力。7设置强管理员密码在MSSQL中,只要选择了混合模式身份验证,就会使用sa帐户。Microsoft建议使用Windows集成身份验证,但许多应用程序需要混合模式来支持其数据库用户和连接字符串。如果您确实启用了混合模式身份验证,请确保使用复杂密码保护sa帐户,以防止其被强行强制使用。类似地,局域网ddos防御代码,MySQL的root用户应该有一个复杂的密码。如果有人在扫描你的数据库服务器,他们要做的第一件事就是尝试以默认的管理员帐户登录,因此无法锁定它可能会导致整个系统受损。8审核数据库登录整个日志记录和监视的一部分应该包括对SQL数据库的登录审核。至少,这些记录将证明在取证情况下有用,但如果定期监控甚至集成到自动通知系统中,重复失败的登录可以在攻击和其他问题变得严重之前发出警报,允许您禁用受损用户或更改其密码,在记录成功登录时,会记录哪些管理员、用户和应用程序已连接,从而帮助进行故障排除和更改管理。9保护备份安全你猜怎么着?您的备份与生产数据库具有相同的数据,因此需要像服务器本身一样谨慎地保护备份。这可能意味着锁定备份目录、限制对托管数据的服务器或存储的访问、可移动媒体的物理安全、对备份的网络访问以及审查谁有权执行和访问备份。但别忘了备份是数据生态系统的一部分,当涉及到安全性时,或者有人可能只是通过打开的窗口来绕过这道关卡。10防止SQL注入当web应用程序接受用户输入并将其发送到数据库时,未经初始化的数据可能会将恶意代码"注入"服务器并执行未经授权的任务,包括根据服务器的配置获得完整的shell访问权限。有几种方法可以减轻这些攻击,包括上面的步骤6,限制用户执行未经授权的任务,但实际上只有一种方法可以防止这些攻击,那就是利用存储过程而不是直接SQL查询进行webapp交互。存储过程只接受预先建立的参数,并且只能执行非常特定的功能,因此它们阻止向原始SQL查询中注入数据。这是多年来的最佳实践,网站怎么防御ddos,但许多生产应用程序仍然运行带有SQLi漏洞的代码,SQLi漏洞是internet上最常被利用的漏洞之一。11连续能见度安全地设置和配置所有内容可以为您省去很多麻烦。但是,确保数据库系统保持安全的唯一方法是对其配置状态保持恒定的可见性,并针对您创建的策略运行测试。这样,当发生更改时,免费ddos云防御,您将收到通知,例如添加为sysadmin的新db用户或授予db_owner权限。如果没有这样的东西,您基本上是在猜测自上次检查之后没有任何变化,或者即使您想确保,您也必须手动收集配置信息,这既耗时又最终是徒劳的,因为将来执行相同的检查将需要复制该工作。UpGuard提供对SQL数据库系统以及其他服务器和网络设备的连续可见性。