免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 数据库技术 MySQL 清除Linux中MySQL的使用痕迹~/.mysql_history
12下一页
最近访问板块 发新帖
查看: 4654 | 回复: 13
打印 上一主题 下一主题

清除Linux中MySQL的使用痕迹~/.mysql_history [复制链接]

RogerZhuo

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2012-04-09 13:16 |只看该作者 |倒序浏览
原贴:http://bbs.chinaunix.net/thread-3676498-1-1.html 讨论过此问题。
背景:我们在管理MySQL server的时候,常常使用mysql命令行工具连接MySQL server进行操作,此时我们可以像shell命令行一样,按向上的方向键,
mysql会给出我们最近执行的SQL命令和脚本;同linux command保存在~/.bash_history一样,你用mysql连接MySQL server的所有操作也会被记录到~/.mysql_history文件中,这样就会有很大的安全风险了,如添加MySQL用户的sql也同样会被明文记录到此文件中。
1,查看你系统的~/.mysql_history隐藏文件
(我的测试环境下,一般linux的mysql用户来管理,所以在/home/mysql目录下会有这个文件)
-bash-3.2$ ls -al | grep mysql_
-rw------- 1 mysql mysql 5006 Apr 10 18:53 .mysql_history


2,测试MySQL用户管理的SQL会被记录

2.1 用linux用户mysql, 使用mysql命令行工具登录MySQL server. 添加用户"his_user@localhost",并设置密码

mysql> grant select on rep.* to his_user@localhost identified by '123';
Query OK, 0 rows affected (0.00 sec)

mysql>
2.2 断开刚才的mysql连接,查看/home/mysql/.mysql_history文件,可见刚才添加mysql user的操作已被记录,包括明文密码123.

-bash-3.2$  tail -1 ~/.mysql_history
grant select on rep.* to his_user@localhost identified by '123';

注意说明:这个.mysql_history不是只存在于MySQL所在的Server,  任何你能够远程用mysql连接,都会在此server上的当前用户的~目录下创建这个隐藏文件。

3, 如何清除使用痕迹,如果在生产环境中,一般不会依赖此记录来作审计,从上面演示可以看出,还存在一定的风险。

2.1 完全清除~/.mysql_history。

2.1.1 删除现在的.mysql_history文件
-bash-3.2$ rm ~/.mysql_history  

2.1.2 创建它的软连接(原因后面说明)
-bash-3.2$ ln -s /dev/null ~/.mysql_history

查看软连接创建成功。
-bash-3.2$ ls -al | grep mysql_
lrwxrwxrwx 1 mysql mysql 9 Apr 10 20:30 .mysql_history -> /dev/null
测试是否生效:连接mysql, 操作,断开连接,查看操作是否还被记录。
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| backup |
-------------------------
mysql> exit
Bye
-bash-3.2$ cat ~/.mysql_history

可见,上面的show databases;操作命令没有被记录,同时当你断开ssh后,重新连接mysql, 此时按“向上”键已无历史操作记录提示,说明生效了。
想要重新生效, 你直接删除掉~/.mysql_history,当你下次再连接,退出后,就会重新创建此文件了。

2.2 只清除敏感信息;如果不想完全禁用此功能,只是想每次做一些敏感操作后,把此文件清空便可以了。

-bash-3.2$ cat /dev/null > ~/.mysql_history

比如你修改了MySQL用户信息,退mysql connection后,执行上操作,把全部操作痕迹清空了。

3  ~/.mysql_history文件的产生原理

3.1 因为mysql工具本身就是有一个shell, 每次mysql连接退出后,都会把此次操作的信息记录到~/.mysql_history文件中,
如果此文件不存在,会先创建,再记录(像上面的把它删除后,或才安装的MySQL)

3.2 此文件的名字,其实是根据MYSQL_HISTFILE这个linux环境变量来设置了, 默认是这个~/.mysql_history值,那我们测试一下其他值。
    3.2.1 在linux用户的~/.bash_profile 中添加一行export MYSQL_HISTFILE=/home/mysql/.mydb_history
    目录根据你的linux用户自己设置,我的测试用户是mysql.
    -bash-3.2$ vi ~/.bash_profile  
    # User specific environment and startup programs
    PATH=$PATHHOME/bin
    PATH=$PATH:/usr/sbin
    export MYSQL_HISTFILE=/home/mysql/.mydb_history

    3.2.2 退出linux连接,重新登录linux; 使用mysql来连接数据库,操作,退出connection, 检查~/.mydb_history隐藏文件是否创建,并检查刚才操作是否被记录。
    mysql> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
----------------------
//退出mysql
mysql> exit
Bye
//查看隐藏文件是否创建
-bash-3.2$ cd ~; ls -tal | grep mydb_history
-rw------- 1 mysql mysql 16 Apr 10 20:55 .mydb_history
// 查看“show databases"命令是否被正确记录到文件中
-bash-3.2$ tail -1 ~/.mydb_history
show databases;

从上可以说明:此文件的文件名来自于MYSQL_HISTFILE。

blog: http://blog.chinaunix.net/space. ... blog&id=3166773
andkylee

论坛徽章:
6
水瓶座 日期:2014-06-04 03:34:37水瓶座 日期:2014-06-17 13:20:31数据库技术版块每日发帖之星 日期:2016-07-09 06:20:00数据库技术版块每日发帖之星 日期:2016-07-17 06:20:00数据库技术版块每日发帖之星 日期:2016-08-01 06:20:00数据库技术版块每日发帖之星 日期:2016-08-04 06:20:00
2 [报告]
发表于 2012-04-09 20:35 |只看该作者
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
小版主杀手

论坛徽章:
4
CU大牛徽章 日期:2013-03-13 15:32:35CU大牛徽章 日期:2013-03-13 15:38:15CU大牛徽章 日期:2013-03-13 15:38:52戌狗 日期:2013-12-27 15:08:11
3 [报告]
发表于 2012-04-10 10:10 |只看该作者
好的建议
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ooooldman

论坛徽章:
0
4 [报告]
发表于 2012-04-10 13:23 |只看该作者
学习了   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
新手刚来

论坛徽章:
0
5 [报告]
发表于 2012-04-10 13:51 |只看该作者
学习了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ruochen

论坛徽章:
8
综合交流区版块每周发帖之星 日期:2015-12-02 15:03:53数据库技术版块每日发帖之星 日期:2015-10-02 06:20:00IT运维版块每日发帖之星 日期:2015-10-02 06:20:00IT运维版块每日发帖之星 日期:2015-09-14 06:20:00金牛座 日期:2014-10-10 11:23:34CU十二周年纪念徽章 日期:2013-10-24 15:41:34酉鸡 日期:2013-10-19 10:17:1315-16赛季CBA联赛之北京 日期:2017-03-06 15:12:44
6 [报告]
发表于 2012-04-10 17:40 |只看该作者
好建议:

另外:
grant select on rep.* to his_user@localhost identified by '123';
应该转换为
grant select on rep.* to his_user@localhost identified by  password '************';
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
devilkin0312

论坛徽章:
2
摩羯座 日期:2014-05-29 17:38:40数据库技术版块每日发帖之星 日期:2016-08-05 06:20:00
7 [报告]
发表于 2012-04-12 18:41 |只看该作者
这个确实好
上次在线上看到各种操作记录,纠结啊,,
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
RogerZhuo

论坛徽章:
0
8 [报告]
发表于 2012-04-12 18:43 |只看该作者
回复 7# devilkin0312
呵呵,有用就行

   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
RogerZhuo

论坛徽章:
0
9 [报告]
发表于 2012-04-18 10:03 |只看该作者
回复 6# ruochen

版主好建议
请问你生成hash的方式是什么呢?

mysql> select password('123');
+-------------------------------------------+
| password('123')                           |
+-------------------------------------------+
| *23AE809DDACAF96AF0FD78ED04B6A265E05AA257 |
+-------------------------------------------+
1 row in set (0.00 sec)

这样到时可以,但是如果在同一系列机子上,还是容易被别人识破的,你有什么好的小工具没?

   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
junsansi

论坛徽章:
0
10 [报告]
发表于 2012-04-18 11:48 |只看该作者
创建mysql用户时指定nologin,启动mysql服务时在其它用户下以mysql身份启动不就行了~~

绝对不会输出.mysql_history
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP