Chắc hẳn bạn đã nghe nói về CVE-2016-6662, lỗ hổng zero-day gần đây xuất hiện trong hầu hết MySQL và các biến thể của nó. Lỗ hổng bảo mật có thể bị kẻ tấn công từ xa khai thác để đưa các cài đặt độc hại vào tài khoản của bạn. cnf,. bạn có thể đọc về các chi tiết ở đây
[email protected]:~$ sudo apt list mysql-server mysql-server/trusty-updates,trusty-security 5.5.52-0ubuntu0.14.04.1 all
Để nâng cấp, chỉ cần
$ sudo apt-get update
$ sudo apt-get install mysql-server
$ sudo service mysql restart #sudo systemctl restart mysql
Đối với RHEL/CentOS 6, được lấy từ Cổng thông tin khách hàng của Redhat, MySQL 5. 1 trong Red Hat Enterprise Linux 6 không triển khai hỗ trợ tải trước thư viện, do đó ngăn chặn vectơ tấn công từ xa được khai thác đã xuất bản sử dụng
Tại thời điểm viết bài, không có bản phát hành MariaDB đã vá nào có sẵn từ kho lưu trữ RHEL/CentOS 7
[[email protected] ]$ yum list | grep -i mariadb-server
mariadb-server.x86_64 1:5.5.44-2.el7.centos @base
mariadb-server.x86_64 1:5.5.50-1.el7_2 updates
Vì lý do trên, trên RHEL/CentOS, chúng tôi có thể áp dụng các bản vá theo cách thủ công. Các đề xuất dưới đây được lấy từ blog Percona
Vá mysqld_safe và các tệp liên quan
So sánh và vá lỗi mysqld_safe, /etc/init. d/mysql và các tệp liên quan theo khác biệt được hiển thị trong kho lưu trữ Github của nhà cung cấp sau
mysql.
Percona.
MariaDB. https. //github. com/MariaDB/máy chủ/cam kết/684a165f28b3718160a3e4c5ebd18a465d85e97c
Quyền người dùng cơ sở dữ liệu
Một cách để tránh lỗ hổng bảo mật là đảm bảo không có người dùng từ xa nào có đặc quyền SUPER hoặc FILE. Xác minh xem có bất kỳ người dùng nào nắm giữ hai đặc quyền này một cách không cần thiết không. Bạn có thể nhận danh sách người dùng từ xa có các đặc quyền này bằng cách sử dụng truy vấn sau
mysql> SELECT user, host FROM mysql.user WHERE Super_priv='Y' AND File_priv='Y' AND host NOT IN ['localhost','127.0.0.1', '::1'];
Quyền đối với tệp cấu hình
Lỗ hổng cần có khả năng ghi vào một số tệp cấu hình MySQL. Ngăn chặn điều đó và bạn an toàn. Đảm bảo bạn định cấu hình quyền cho các tệp cấu hình khác nhau như sau
Tạo một [trống] my. cnf và. của tôi. cnf trong datadir [thường là /var/lib/mysql ] và biến root thành chủ sở hữu/nhóm với quyền 0644.
$ touch /var/lib/mysql/my.cnf $ touch /var/lib/mysql/.my.cnf $ chmod 644 my.cnf .my.cnf $ chown root:root *.cnf
Xác minh các tệp cấu hình MySQL khác cũng như ở các vị trí khác
$ for i in "/etc/my.cnf /etc/mysql/my.cnf /usr/etc/my.cnf ~/.my.cnf"; do chown root:root $i; chmod 644 $i; done
Điều này cũng bao gồm “. các đường dẫn bao gồm” được xác định trong cấu hình hiện tại của bạn – đảm bảo rằng người dùng mysql cũng không thể ghi chúng. Coi như ". bao gồm = /etc/my. cnf. d” được định nghĩa trong của tôi. cnf
$ chmod 644 /etc/my.cnf.d/*.cnf $ chown root:root /etc/my.cnf.d/*.cnf
Sau khi RHEL/CentOS phát hành các gói mysql đã vá trong kho lưu trữ tương ứng của chúng, bạn có thể thực hiện nâng cấp gói bằng các lệnh yum
Kiểm soát cụm
Bảng điều khiển duy nhất cho toàn bộ cơ sở hạ tầng cơ sở dữ liệu của bạn
Tìm hiểu xem có gì mới trong ClusterControl
Cài đặt ClusterControl MIỄN PHÍ
Nâng cấp ClusterControl lên Phiên bản mới nhất
ClusterControl phải được cập nhật lên phiên bản mới nhất để đảm bảo các bước nâng cấp được cập nhật và phù hợp với phiên bản mới nhất
Bản phát hành ổn định mới nhất cho ClusterControl hiện là 1. 3. 2 [bản dựng 1467]. Hãy lưu ý rằng nếu bạn đang nâng cấp từ 1. 2. 12 trở xuống, bạn nên thực hiện thêm một số bước để định cấu hình lại /etc/cmon. cnf để sử dụng các tùy chọn cấu hình tối thiểu. Phần này được giải thích thêm trong hướng dẫn nâng cấp ClusterControl có sẵn tại.
Nâng cấp máy chủ DB được giám sát
Đối với Galera Cluster, ClusterControl hỗ trợ nâng cấp bản vá [giữa các phiên bản nhỏ và. g, 5. 6. 12 đến 5. 6. 30] trực tiếp từ giao diện người dùng. Để thực hiện việc này, hãy đi tới ClusterControl -> Manage -> Upgrades -> Upgrade và nó sẽ bắt đầu nâng cấp cuốn chiếu, mỗi lần một nút
Bạn có thể theo dõi tiến độ công việc trong Nhật ký -> Công việc
Ngoài ra, bạn có thể thực hiện nâng cấp theo cách thủ công bằng cách làm theo hướng dẫn nâng cấp từ nhà cung cấp cơ sở dữ liệu tương ứng. Nâng cấp nhỏ không yêu cầu bạn gỡ cài đặt các gói hiện có, vì vậy đây sẽ là một bản nâng cấp khá đơn giản. Ví dụ: nếu bạn đang sử dụng Percona XtraDB Cluster 5. 6 trên CentOS 7, bạn chỉ cần thực hiện các thao tác sau trên một nút DB tại một thời điểm
$ yum clean all
$ yum install Percona-XtraDB-Cluster-56
$ systemctl restart mysql
Đảm bảo nút tham gia lại cụm và đạt đến trạng thái Chính [theo dõi wsrep_cluster_status và . status] before proceeding to the next node.
Đó là nó. Đối với những khách hàng đăng ký của vàinines, bạn có thể liên hệ với chúng tôi qua cổng hỗ trợ của chúng tôi nếu bạn cần hỗ trợ thêm về việc áp dụng các bản vá