Nếu tổ chức của bạn sử dụng MariaDB để quản lý cơ sở dữ liệu thay thế cho MySQL, bạn có thể đã biết rằng bạn có nhiều tùy chọn khác nhau khi nói đến bảo mật và sao lưu cơ sở dữ liệu hoặc khôi phục dữ liệu nếu bạn gặp sự cố. Tuy nhiên, không phải lúc nào cũng rõ ràng bạn nên thực hiện những lựa chọn nào để tối đa hóa tính bảo mật và bảo vệ tốt nhất tài sản của công ty bạn.
Để hỗ trợ, bài viết này làm rõ nhiều phương pháp tốt nhất và đề xuất cụ thể cho các phần quan trọng trong cấu hình MariaDB của bạn. Nó cũng sẽ đưa ra một cái nhìn sâu hơn về giải pháp tốt nhất để bảo vệ dữ liệu quan trọng – sự kết hợp được thiết kế tốt giữa các phương pháp hay nhất về cấu hình này cũng như việc sử dụng hệ thống sao lưu và khôi phục chi tiết, nhận biết ứng dụng.
Các tùy chọn cấu hình và sự cân nhắc
Có nhiều tùy chọn cấu hình khác nhau để cân nhắc khi bạn thiết lập và duy trì MariaDB. Các phần sau sẽ thảo luận về xác thực, mật khẩu, mạng, sử dụng MariaDB làm hình ảnh Docker và các cân nhắc bổ sung cho các nâng cấp MariaDB trong tương lai.
Xác thực không cần mật khẩu
Nếu tổ chức của bạn muốn cho phép người dùng xác thực mà không cần mật khẩu, bạn có một số tùy chọn khác nhau tùy thuộc vào hệ điều hành của mình (Linus hoặc Windows).
- Linux: Trong Linux, sử dụng plugin xác thực Unix_socket của MariaDB. Điều này cho phép người dùng đăng nhập vào MariaDB thông qua Unix socket, nhưng chỉ khi tên của người dùng khớp với người dùng hệ thống.
Ngoài ra, người dùng root được định cấu hình hiệu quả để sử dụng xác thực ổ cắm Unix theo mặc định, một lợi thế quan trọng ngăn chặn việc vô tình cấp quyền truy cập root cho các kết nối bên ngoài thông qua cổng lắng nghe.
- Windows: Trong môi trường Windows, bạn có thể sử dụng named pipe plugin, cung cấp chức năng tương tự cho các triển khai dựa trên Windows. Plugin này cho phép người dùng sử dụng thông tin đăng nhập hệ điều hành khi kết nối với MariaDB thông qua named pipe trên Windows.
Nhiều phương thức xác thực
MariaDB cho phép nhiều phương thức xác thực cho mỗi người dùng. Điều này cung cấp tính linh hoạt cao hơn trong đó người dùng có thể xác thực bằng Unix socket hoặc nếu điều đó không hoạt động, để sử dụng mật khẩu.
Mật khẩu plugin phức tạp
Ngoài ra, bạn có thể cài đặt plugin kiểm tra mật khẩu cracklib để đảm bảo người dùng MariaDB luôn tạo mật khẩu phức tạp, không tầm thường – một bước quan trọng trong việc tối đa hóa bảo mật.
Suy nghĩ về việc lưu trữ mật khẩu
Nếu bạn phải lưu trữ mật khẩu, chúng tôi khuyên bạn nên làm theo các phương pháp cụ thể tốt nhất sau đây:
Không bao giờ lưu trữ mật khẩu dưới dạng văn bản rõ ràng.
Đảm bảo rằng mật khẩu máy chủ được mã hóa. Lưu ý rằng mặc định trong MariaDB là sha 1, không còn được coi là an toàn nữa.
Ngoài ra, ed_25519 không được đặt theo mặc định nhưng rất được khuyến khích.
Mạng MariaDB an toàn
Nếu thiết lập triển khai của bạn cho phép, tốt nhất là bạn nên chạy với skip-networking
trên máy chủ có ổ cắm Unix bất cứ khi nào có thể. Tuy nhiên, nếu điều này là không thể, hãy sử dụng tên máy chủ cụ thể cho người dùng để giới hạn các địa chỉ IP được chấp nhận bên ngoài. Lưu ý rằng chỉ các kết nối đến từ 192.168.1.10 mới được chấp nhận.
Tạo người dùng dành riêng cho ứng dụng
Một tình huống cần lưu ý: Việc triển khai mặc định là cho phép quyền truy cập root của ứng dụng. Điều này không những không cần thiết mà còn không phải là một ý kiến hay vì nó có thể dẫn đến các lỗ hổng trong tương lai. Ví dụ, trong trường hợp có lỗi bảo mật trong ứng dụng, toàn bộ máy chủ cơ sở dữ liệu có thể bị xâm phạm. Thay vào đó, bạn nên tạo người dùng chuyên dụng và chỉ cấp quyền khi cần thiết bằng cách sử dụng nguyên tắc đặc quyền ít nhất.
Trong trường hợp một mạng không đáng tin cậy
Trong trường hợp bạn đang xử lý một mạng không đáng tin cậy, hãy đảm bảo rằng thông tin liên lạc giữa máy khách và máy chủ được mã hóa. Điều này yêu cầu chứng chỉ SSL cho máy chủ được tạo và định cấu hình. (Sử dụng lệnh CREATE USER để biết thông tin về các chứng chỉ chỉ định.)
Tất cả điều này giúp bạn tạo ra một người dùng có thể kết nối cục bộ mà không cần SSL. Đồng thời, đảm bảo yêu cầu SSL khi kết nối từ máy chủ bên ngoài.
MariaDB dưới dạng hình ảnh Docker
MariaDB cũng được truyền đi dưới dạng hình ảnh Docker. Điều này có nghĩa là có nhiều cách để thiết lập máy chủ, bao gồm chia sẻ ổ cắm Unix qua ổ đĩa hoặc để lộ cổng TCP / IP (3306).
Đối với các biến môi trường hữu ích, bạn có thể sử dụng MARIADB_ROOT_PASSWORD / MYSQL_ROOT_ PASSWORD.
Nâng cấp MariaDB
Với MariaDB, khả năng tương thích ngược được duy trì trên tất cả các phiên bản. Các tính năng hiếm khi bị loại bỏ và khi có bị loại, nó thường liên quan đến mâu thuẫn với tiêu chuẩn MySQL.
Bạn nên làm tất cả những gì có thể để đảm bảo máy chủ MariaDB được cập nhật. Điều này rất quan trọng vì MariaDB phát hành các bản sửa lỗi bảo mật càng sớm càng tốt sau khi phát hành MySQL của Oracle (thường là 1–2 ngày), vì vậy việc cập nhật máy chủ sẽ đảm bảo bạn có quyền truy cập vào tất cả các bản vá này sớm nhất có thể.
Tổng quan về giải pháp Acronis
Giải pháp tốt nhất để bảo vệ dữ liệu và cơ sở dữ liệu có giá trị của bạn là sự hợp tác giữa các phương pháp tốt nhất của ứng dụng và giải pháp sao lưu và khôi phục chi tiết, nhận biết ứng dụng.
Acronis cung cấp bản sao lưu một lần cho khối lượng công việc MySQL và MariaDB cho phép khôi phục hoàn toàn cũng như khôi phục chi tiết cơ sở dữ liệu và bảng MySQL / MariaDB nếu dữ liệu bị hỏng. Giải pháp thực hiện sao lưu ở máy chủ, máy ảo, cơ sở dữ liệu hoặc thậm chí các cấp bảng riêng lẻ. Điều này trở thành một lợi thế quan trọng cho người dùng chạy nhiều trang web hoặc ứng dụng trên một phiên bản duy nhất.
Các nhà cung cấp dịch vụ lưu trữ và đám mây cũng sẽ đánh giá cao rằng giải pháp Acronis Cyber Protect Cloud hoàn toàn có thể định cấu hình và triển khai thông qua các bảng điều khiển và hệ thống tự động hóa mà họ sử dụng hiện nay – cPanel Plesk, DirectAdmin, WHMCS và hơn thế nữa.
Kết hợp an ninh mạng, bảo vệ dữ liệu và sao lưu đảm bảo bảo vệ tốt hơn yêu cầu ít tài nguyên hơn – điều quan trọng để tránh xâm phạm và đảm bảo khôi phục an toàn và không có phần mềm độc hại. Để tìm hiểu thêm về những ưu điểm của việc sử dụng Acronis Cyber Cloud làm nền tảng MSP, hãy truy cập trang giải pháp dành cho nhà cung cấp dịch vụ của chúng tôi ngay hôm nay
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666
Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
