DBA Blog tag:www.dbasky.net,2009-04-10://1 2012-03-01T02:38:14Z 专注于Oracle、Oracle RAC、UNIX and Linux、Web 20、互联网; 擅长Oracle 的管理And维护、OPENSOURCE等 Movable Type 4.25 SecureCRT for Mac OS X 6.7.3破解方法 tag:www.dbasky.net,2012://1.196 2012-03-01T02:37:28Z 2012-03-01T02:38:14Z Mike.Xu http://www.dbasky.net 简 介:SecureCRT是一个可以与PuTTY相媲美的TELNET基于文本形式的商业化远端管理工具,它是一个终端仿真程序,是连接远程运行UNIX 和VMS系统主机的理想选择。它支持VT100、VT102、VT220和ANSI终端仿真,包含基于文件的脚本和简单易用的工具条等。

安装和破解方法:
从官方下载安装 6.7.3 版本的SecureCRT并安装。(直接next就ok,不多说)
破解:
A:在打补丁前需要手动在终端执行以下命令:
sudo chmod -R 777 /Applications/SecureCRT.app/Contents/MacOS
B:点击"select Application"选择已经安装好的SecureCRT.app或者直接拖拽进Patch程序等待Patch完成。
C:使用如下的注册信息手工注册:
Name:suddy
Company:suddy
Serial:03-67-009054
LicenseKey:ACUYJV Q1V2QU 1YWRCN NBYCYK AAXBZT CMJS8Z KBFYR7 QXJE45
Date:11-19-2011


scrt-6.7.3-292.osx_x86.dmg


SecureCRT.6.7.3.patch.app.zip


]]> 让苹果 iTunes 在 Dock 栏图标上方自动显示当前歌曲名和歌手名的方法 tag:www.dbasky.net,2012://1.195 2012-03-01T02:22:34Z 2012-03-01T02:37:16Z Mike.Xu http://www.dbasky.net        让苹果 iTunes 每次换到新歌,就弹出一个气泡,第一行显示歌手名,第二行显示歌曲名。几秒钟后气泡消失,不遮挡视线.
实现方法很简单:打开终端(找不到的,点击 Mac 屏幕右上角放大镜,搜索 "终端"),粘入下面这行命令,回车即可。
defaults write com.apple.dock itunes-notifications -bool TRUE;killall Dock
    想去掉这一 iTunes 提醒功能的话,在终端里输入下面这行命令后回车即可。
defaults delete com.apple.dock itunes-notifications
    另外,如果你用此前我推荐的豆瓣电台客户端 diumoo 并勾选了 "模拟 iTunes 歌曲信息广播" 的话,苹果 iTunes 图标上方也会自动显示豆瓣电台播放的歌曲名。
]]> 新春快乐 tag:www.dbasky.net,2012://1.188 2012-01-20T03:11:34Z 2012-01-20T03:26:26Z 中国传统的新年马上到来,祝所有朋友新春快乐,合家团圆。祝爸妈身体健康。祝自己在2012年心想事成,一切顺利。... Mike.Xu http://www.dbasky.net 中国传统的新年马上到来,
祝所有朋友新春快乐,合家团圆。
祝爸妈身体健康。
祝自己在2012年心想事成,一切顺利。


64543660201201142158143879249259506_003.jpg


]]> Mac常用快捷键 tag:www.dbasky.net,2012://1.190 2012-01-05T03:52:55Z 2012-01-20T04:01:18Z 刚从windows的阵营转到Mac的阵营,记录下刚开始接触神秘的Mac系统常用的快捷键启动计算机时的巧妙使用:1、在计算机启动时,同时按住"option"键可以重建桌面,此操作应每月做一次。2、在计算机启动时,按住"shift"键可以关闭所有系统功能扩展。3、在计算机启动时,按住鼠标可以推出软盘以避免将其用作启动磁盘。4、在计算机启动时,同时按住"shift"+"option"+"delete"键可以忽略启动磁盘,并自动寻找另一个介质做启动盘。5、在计算机启动时,同时按住"option"+"P"+"R"键可以重设"选配器"和"控制板",清除PRAM。这种方法对于使用时间较长(半年以上)且系统有问题的计算机会有意想不到的效果。6、同时按住"shift"+"option" +"电源键"可以重新启动或关闭计算机﹔7、在鼠标不能动时,同时按住"control"+"电源键"可以强行启动计算机。使用显示图像或活页夹工作时的巧妙使用:1、鼠标连按图像或活页夹可以打开图像或活页夹﹔点按桌面上的图像能使桌面成为现用(不包括所选图像)。2、用鼠标拖曳图像或活页夹可以移动到所需位置。3、按住"option"键+鼠标拖曳图像或活页夹可以将图像或活页夹拷贝到其它活页夹中,而不是移动。4、在拖曳图像或活页夹时将图像或活页夹拖至窗口上端的菜单栏可以取消对它的移动或拷贝。5、按住"shift"键+整理窗口可以整理所选图像。6、按住"return"或"enter"键可以编辑所选图像或活页夹的名称。7、按任一字母键将选择以该字母开头而命名的图像或活页夹。按"tab"键将按字母顺序选择下一个图像或活页夹。8、同时按住"shift"+"tab"键将按字母顺序选择上一个图像或活页夹(注:中文名称以第一个字的汉语拼音的第一个英文字母为准)。9、按"→"或"←"键将选择左面或右面的像或活页夹﹔按"↑"或"↓"键将选择上面或下面的图像或活页夹。10、按"shift"+点按所需图像或活页夹可以选择多个图像或活页夹,或用鼠标拖曳到封入所需图像或活页夹而选择多个图像或活页夹。使用文件对话框时的巧妙使用:1、打开对话框时(如使用"文件"菜单下的"打开"或"存储"等命令时同时)按"."或按"esc"键可以取消该命令。2、同时按"苹果键"+"↑"或点按桌面图像可以上移一层。按"↑"或"↓"键可以选择上一个或下一个项目。3、按"option"键+打开替身可以显示而不是打开替身的原文件。4、"tab"键使目录或名称框成为现用。5、按"苹果键"+"N"键可以建立新活页夹。按"return"或"enter"或"O"键可以打开所选项目。使用窗口工作时的巧妙使用:1、按"苹果键"+"W"键或点按窗口关闭格(位于窗口左上角)可以关闭当前活页夹窗口。2、同时按"option"+"苹果键"+"W"键或"option"+点按窗口关闭格可以关闭所有活页夹窗口。3、按"苹果键"+拖曳窗口可以移动该窗口,但不使其成为现用窗口。4、连续点按两下活页夹的标题行即隐藏显示该活页夹,再连续点按两下即恢复显示。5、按"option"键点按缩放格(位于窗口右上角)可以将窗口放大至它所在的屏幕大小。6、按"option"键+打开或"option"键+连按图像可以在打开该图像后自动关闭该窗口。(待续)... Mike.Xu http://www.dbasky.net 刚从windows的阵营转到Mac的阵营,记录下刚开始接触神秘的Mac系统常用的快捷键

启动计算机时的巧妙使用:
1、在计算机启动时,同时按住"option"键可以重建桌面,此操作应每月做一次。
2、在计算机启动时,按住"shift"键可以关闭所有系统功能扩展。
3、在计算机启动时,按住鼠标可以推出软盘以避免将其用作启动磁盘。
4、在计算机启动时,同时按住"shift"+"option"+"delete"键可以忽略启动磁盘,并自动寻找另一个介质做启动盘。
5、在计算机启动时,同时按住"option"+"P"+"R"键可以重设"选配器"和"控制板",清除PRAM。这种方法对于使用时间较长(半年以上)且系统有问题的计算机会有意想不到的效果。
6、同时按住"shift"+"option" +"电源键"可以重新启动或关闭计算机﹔
7、在鼠标不能动时,同时按住"control"+"电源键"可以强行启动计算机。使用显示图像或活页夹工作时的巧妙使用:
1、鼠标连按图像或活页夹可以打开图像或活页夹﹔点按桌面上的图像能使桌面成为现用(不包括所选图像)。
2、用鼠标拖曳图像或活页夹可以移动到所需位置。
3、按住"option"键+鼠标拖曳图像或活页夹可以将图像或活页夹拷贝到其它活页夹中,而不是移动。
4、在拖曳图像或活页夹时将图像或活页夹拖至窗口上端的菜单栏可以取消对它的移动或拷贝。
5、按住"shift"键+整理窗口可以整理所选图像。
6、按住"return"或"enter"键可以编辑所选图像或活页夹的名称。
7、按任一字母键将选择以该字母开头而命名的图像或活页夹。按"tab"键将按字母顺序选择下一个图像或活页夹。
8、同时按住"shift"+"tab"键将按字母顺序选择上一个图像或活页夹(注:中文名称以第一个字的汉语拼音的第一个英文字母为准)。
9、按"→"或"←"键将选择左面或右面的像或活页夹﹔按"↑"或"↓"键将选择上面或下面的图像或活页夹。
10、按"shift"+点按所需图像或活页夹可以选择多个图像或活页夹,或用鼠标拖曳到封入所需图像或活页夹而选择多个图像或活页夹。使用文件对话框时的巧妙使用:
1、打开对话框时(如使用"文件"菜单下的"打开"或"存储"等命令时同时)按"."或
按"esc"键可以取消该命令。
2、同时按"苹果键"+"↑"或点按桌面图像可以上移一层。按"↑"或"↓"键可以选择上一个或下一个项目。
3、按"option"键+打开替身可以显示而不是打开替身的原文件。
4、"tab"键使目录或名称框成为现用。
5、按"苹果键"+"N"键可以建立新活页夹。按"return"或"enter"或"O"键可以打开所选项目。
使用窗口工作时的巧妙使用:
1、按"苹果键"+"W"键或点按窗口关闭格(位于窗口左上角)可以关闭当前活页夹窗口。
2、同时按"option"+"苹果键"+"W"键或"option"+点按窗口关闭格可以关闭所有活页夹窗口。
3、按"苹果键"+拖曳窗口可以移动该窗口,但不使其成为现用窗口。
4、连续点按两下活页夹的标题行即隐藏显示该活页夹,再连续点按两下即恢复显示。
5、按"option"键点按缩放格(位于窗口右上角)可以将窗口放大至它所在的屏幕大小。
6、按"option"键+打开或"option"键+连按图像可以在打开该图像后自动关闭该窗口。(待续)
]]> 新的GOOGLE+ hostlist tag:www.dbasky.net,2011://1.189 2011-12-27T03:26:53Z 2012-01-20T03:27:53Z 早上一起来打开电脑发现G+打不开了,试了Google Talk也打不开。这叫人这么生活啊!google产品在中国和美国一个很大的不同,就是GOOGLE的大部分产品在中国陷于完全瘫痪状态。早上开电脑,GMAIL打不开了,GOOGLE+,GOOGLE READER打不开。没有办法只能重新寻找新的hostlist。附上新的hostlist:203.208.46.180 plus.google.com203.208.46.180 lh6.googleusercontent.com203.208.46.180 lh5.googleusercontent.com203.208.46.180 lh3.googleusercontent.com203.208.46.180 lh2.googleusercontent.com203.208.46.180 lh1.googleusercontent.com203.208.46.180 lh4.googleusercontent.com203.208.46.180 webcache.googleusercontent.com203.208.46.180 mail.google.com203.208.46.180 picasaweb.google.com203.208.46.180 www.googlelabs.com203.208.46.180 docs.google.com203.208.46.180 plus.google.com.hk203.208.46.180 profiles.google.com203.208.46.180 services.google.com203.208.46.180 clients4.google.com203.208.46.180 clients2.google.com203.208.46.180 chrome.google.com203.208.46.180 tools.google.com... Mike.Xu http://www.dbasky.net
附上新的hostlist:

203.208.46.180 plus.google.com
203.208.46.180 lh6.googleusercontent.com
203.208.46.180 lh5.googleusercontent.com
203.208.46.180 lh3.googleusercontent.com
203.208.46.180 lh2.googleusercontent.com
203.208.46.180 lh1.googleusercontent.com
203.208.46.180 lh4.googleusercontent.com
203.208.46.180 webcache.googleusercontent.com
203.208.46.180 mail.google.com
203.208.46.180 picasaweb.google.com
203.208.46.180 www.googlelabs.com
203.208.46.180 docs.google.com
203.208.46.180 plus.google.com.hk
203.208.46.180 profiles.google.com
203.208.46.180 services.google.com
203.208.46.180 clients4.google.com
203.208.46.180 clients2.google.com
203.208.46.180 chrome.google.com
203.208.46.180 tools.google.com

]]> TimesTen 连接异常 tag:www.dbasky.net,2011://1.179 2011-06-08T07:06:46Z 2011-06-08T07:16:48Z Mike.Xu http://www.dbasky.net
 Problems with loading native library/missing methods: no ttJdbcCS in java.library.path

  解决办法:

1. 添加$TT_HOME/lib到LD_LIBRARY_PATH(Linux)/

   SHLIB_PATH (UNIX)

例如:

vi /etc/profile

export LD_LIBRARY_PATH=/opt/oracle/TimesTen/tt11/lib:$LD_LIBRARY_PATH

2. 检查TimesTen $TT_HOME/lib权限

3. 如果TimesTen运行在64位下,在启动参数上加上java -d64 ...


]]> 谈谈ORACLE内核参数 tag:www.dbasky.net,2011://1.178 2011-05-20T05:42:57Z 2011-05-20T05:46:58Z 以服务器内存为4G 修改/etc/sysctl.conf文件 (ROOT账户) kernel.shmmax = 2147483648 //公式:2G*1024*1024*1024=2147483648(字节) //表示最大共享内存,如果小的话可以按实际情况而定,一般为物理内存的一半(单位:字节) kernel.shmmni=4096 //表示最小共享内存固定4096KB(由于32位操作系统默认一页为4K) kernel.shmall=1048576 //公式:4G*1024*1024/4K = 1048576(页) //表示所有内存大小(单位:页) kernel.sem=250 32000 100 128 //4个参数依次是SEMMSL:每个用户拥有信号量最大数,SEMMNS:系统信号量最大数,SEMOPM:每次semopm系统调用操作数,SEMMNI:系统辛苦量集数最大数。这4个参数为固定内容大小 fs.file-max=65536 //file-max固定大小65536 net.ipv4.ip_local_port_range=1024 65000 //ip_local_port_range表示端口的范围,为指定的内容 以上步骤做完执行 /sbin/sysctl -p 使内核生效 验证参数(root账户执行): #/sbin/sysctl -a | grep shm #/sbin/sysctl -a | grep sem... Mike.Xu http://www.dbasky.net 以服务器内存为4G
修改/etc/sysctl.conf文件 (ROOT账户)

kernel.shmmax = 2147483648
//公式:2G*1024*1024*1024=2147483648(字节)
//表示最大共享内存,如果小的话可以按实际情况而定,一般为物理内存的一半(单位:字节)

kernel.shmmni=4096
//表示最小共享内存固定4096KB(由于32位操作系统默认一页为4K)

kernel.shmall=1048576
//公式:4G*1024*1024/4K = 1048576(页)
//表示所有内存大小(单位:页)

kernel.sem=250 32000 100 128
//4个参数依次是SEMMSL:每个用户拥有信号量最大数,SEMMNS:系统信号量最大数,SEMOPM:每次semopm系统调用操作数,SEMMNI:系统辛苦量集数最大数。这4个参数为固定内容大小

fs.file-max=65536
//file-max固定大小65536

net.ipv4.ip_local_port_range=1024 65000
//ip_local_port_range表示端口的范围,为指定的内容

以上步骤做完执行 /sbin/sysctl -p 使内核生效

验证参数(root账户执行):
#/sbin/sysctl -a | grep shm
#/sbin/sysctl -a | grep sem
#/sbin/sysctl -a | grep file-max
#/sbin/sysctl -a | grep ip_local_port_range

1、与oracle相关的信号量和共享内存段参数

   一般unix系统中和信号量相关的是三个参数SEMMNI SEMMSL SEMMNS。他们相互关联决定系统可以分配的信号量。Oracle使用信号量完成内部进程之间的通信。

   关于共享内存段使用shmmx参数进行总体控制。它指定了系统可以分配的共享内存段最大大小,实际并没有分配那么多只是给出一个可以使用的最大限制。

   对于类核参数的修改必须要重新启动系统之后才会生效。
2、出现信号量和共享内存段相关问题的情况

   oracle只有在startup nomount的时候才会请求os的这些资源,用于建立SGA和启动后台进程。

   有些情况下因为oracle崩溃之后os没有清除oracle分配的SGA,也可能造成共享内存段不足,需要人工清除。

3、如何解决相关的问题

   你可以简单的修改init参数减少oracle对共享内存段和信号量的需求。

   对于控制信号量的三个参数SEMMNI SEMMSL SEMMNS 。最终可以使用的信号量由下面公式 提取 (semmsl * semmni) 或者 semmns中最小的值。

    例如在linux. 进入目录/proc/sys/kernel;用cat命令或more命令查看semaphore当前参数的值:
cat sem
命令运行后将会出现如下的结果:
250 32000 32 128
其中, 250 是参数SEMMSL的值,32000是参数SEMMNS的值, 32是参数SEMOPM的值,而128则是参数SEMMNI的值。250*128=32000

对于oracle7需要信号量的设置等于initprocesses的设置。对于8i 9i需要等于processes*2

对于信号量参数的设定一定要小心,因为不正确的设置可能会让系统使用默认值。这个值一般比oracle系统要求的低。在HP unix上遇到过这样的问题,当时在参数配置的时候指定两个不同的sem-mni造成系统使用默认的设置。

对于共享内存段,系统的设置至少要等于SGA的大小。

]]> mysql的一个拒绝访问错误的解决 tag:www.dbasky.net,2011://1.177 2011-03-21T09:42:50Z 2011-03-21T09:44:47Z Mike.Xu http://www.dbasky.net Host '192.168.1.163' is not allowed to connect to this MySQL serverConnection closed by foreign ,虽然自己以前也碰到过,后来解决了,但是觉得还是值得贴出来,估计会有很多人同样碰到过,
解决办法:
mysql>UPDATE mysql.user SET Host='%' WHERE Host='localhost';
mysql>GRANT ALL PRIVILEGES ON *.* TO root@"%" ;
mysql>FLUSH PRIVILEGES; ]]> Mysql 安全 tag:www.dbasky.net,2011://1.176 2011-03-09T08:25:36Z 2011-03-09T08:27:13Z Mike.Xu http://www.dbasky.net SQL数据库服务器,它是一个客户机/服务器结构的实现。MySQL是现在流行的关系数据库中其中的一种,相比其它的数据库管理系统(DBMS)来说,MySQL具有小巧、功能齐全、查询迅捷等优点。MySQL 主要目标是快速、健壮和易用。目前,在大中型企业中已经得到了较好的运用,但是由于它是多平台的数据库,不可避免的默认配置也是适合多种情况的需求,因此需要用户需要在自定义的环境下对MySQL的使用进行加固。

      假如软件本身有严重安全问题,即使安全配置做的更好,也没有用。因此,要首先了解MySQL的版本。关于MySQL的版本,在MySQL官方文档中是这么描述的:
    MySQL 5.2是最新开发的发布系列,是将执行新功能的系列。不久的将来可以使用Alpha发行,以便感兴趣的用户进行广泛的测试。
    MySQL 5.1是当前稳定(产品质量)发布系列。只针对漏洞修复重新发布;没有增加会影响稳定性的新功能。
    MySQL 5.0是前一稳定(产品质量)发布系列。只针对严重漏洞修复和安全修复重新发布;没有增加会影响该系列的重要功能。
    MySQL 4.0和3.23是旧的稳定(产品质量)发布系列。该版本不再使用,新的发布只用来修复特别严重的漏洞(以前的安全问题)。
Mysql开发组织不认为有完全的冻结版,因为任何版本均需要对漏洞进行修复和其它修复。对于"某种程度的冻结",他们是指他们可以在产品发布中增加一些不会影响当前工作的小东西。当然,前一系列的相关漏洞修复会移植到后面的系列。

根据官方的建议,至目前为止,推荐使用目前的稳定版本MySQL 5.1。如果你正在运行一个老的系统并且想要升级,但是又不想冒险进行非无缝升级,应该升级到最新版本中你正使用的相同的发布系列(只有版本号的最后部分比你使用的新,例如5.0和5.1为同一系列)。

一、MySQL安装

MySQL可以在redhat环境下进行RPM安装和debian下apt安装,但是最新的包一般都是源码的形式,因此这里选择源码编译安装的方式。
首先登陆官方网站http://www.mysql.com,下载最新的released版本。
# tar zxf mysql-5.1.22-rc-linux-i686-glibc23.tar.gz
为mysql的运行建立mysql用户和mysql用户组
#groupadd mysql
# useradd -g mysql mysql
# ./configure --prefix=/usr/local/mysql
#make
#make install
# cp support-files/my-medium.cnf /etc/my.cf
# bin/mysql_install_db --user=mysql //用mysql生成初始数据库,出现类似thank for using mysql 证明初始化数据库成功。
# chown -R root .  //当前目录给root
# chown -R mysql var //var给mysql,这个很重要,也是安全起见
# chgrp -R mysql .
# bin/mysqld_safe --user=mysql &
#bin/mysql -u root
此时安全完毕,但是最重要是对MySQL进行安全配置,检查你的系统,最基本要做到以下配置。

二、MySQL安全配置

数据库作为数据管理的平台,它的安全性首先由系统的内部安全和网络安全两部分来决定。对于系统管理员来说,首先要保证系统本身的安全,在安装MySQL数据库时,需要对基础环境进行较好的配置。

1、修改root用户口令,删除空口令
缺省安装的MySQL的root用户是空密码的,为了安全起见,必须修改为强密码,所谓的强密码,至少8位,由字母、数字和符号组成的不规律密码。使用MySQL自带的命令mysaladmin修改root密码,同时也可以登陆数据库,修改数据库mysql下的user表的字段内容,修改方法如下所示:

# /usr/local/mysql/bin/mysqladmin -u root password "upassword" //使用mysqladmin
#mysql> use mysql;
#mysql> update user set password=password('upassword') where user='root';
#mysql> flush privileges; //强制刷新内存授权表,否则用的还是在内存缓冲的口令

2、删除默认数据库和数据库用户
一般情况下,MySQL数据库安装在本地,并且也只需要本地的php脚本对mysql进行读取,所以很多用户不需要,尤其是默认安装的用户。MySQL初始化后会自动生成空用户和test库,进行安装的测试,这会对数据库的安全构成威胁,有必要全部删除,最后的状态只保留单个root即可,当然以后根据需要增加用户和数据库。

#mysql> show databases;
#mysql> drop database test; //删除数据库test
#use mysql;
#delete from db; //删除存放数据库的表信息,因为还没有数据库信息。
#mysql> delete from user where not (user='root') ; // 删除初始非root的用户
#mysql> delete from user where user='root' and password=''; //删除空密码的root,尽量重复操作
Query OK, 2 rows affected (0.00 sec)
#mysql> flush privileges; //强制刷新内存授权表。

3、改变默认mysql管理员帐号
系统mysql的管理员名称是root,而一般情况下,数据库管理员都没进行修改,这一定程度上对系统用户穷举的恶意行为提供了便利,此时修改为复杂的用户名,请不要在设定为admin或者administraror的形式,因为它们也在易猜的用户字典中。

mysql> update user set user="newroot" where user="root"; //改成不易被猜测的用户名
mysql> flush privileges;

4、关于密码的管理
密码是数据库安全管理的一个很重要因素,不要将纯文本密码保存到数据库中。如果你的计算机有安全危险,入侵者可以获得所有的密码并使用它们。相反,应使用MD5()、SHA1()或单向哈希函数。也不要从词典中选择密码,有专门的程序可以破解它们,请选用至少八位,由字母、数字和符号组成的强密码。在存取密码时,使用mysql的内置函数password()的sql语句,对密码进行加密后存储。例如以下方式在users表中加入新用户。

#mysql> insert into users values (1,password(1234),'test');

5、使用独立用户运行msyql
绝对不要作为使用root用户运行MySQL服务器。这样做非常危险,因为任何具有FILE权限的用户能够用root创建文件(例如,~root/.bashrc)。mysqld拒绝使用root运行,除非使用--user=root选项明显指定。应该用普通非特权用户运行mysqld。正如前面的安装过程一样,为数据库建立独立的linux中的mysql账户,该账户用来只用于管理和运行MySQL。

要想用其它Unix用户启动mysqld,,增加user选项指定/etc/my.cnf选项文件或服务器数据目录的my.cnf选项文件中的[mysqld]组的用户名。
#vi /etc/my.cnf
[mysqld]
user=mysql
该命令使服务器用指定的用户来启动,无论你手动启动或通过mysqld_safe或mysql.server启动,都能确保使用mysql的身份。也可以在启动数据库是,加上user参数。

# /usr/local/mysql/bin/mysqld_safe --user=mysql &
作为其它linux用户而不用root运行mysqld,你不需要更改user表中的root用户名,因为MySQL账户的用户名与linux账户的用户名无关。确保mysqld运行时,只使用对数据库目录具有读或写权限的linux用户来运行。

6、禁止远程连接数据库
在命令行netstat -ant下看到,默认的3306端口是打开的,此时打开了mysqld的网络监听,允许用户远程通过帐号密码连接数本地据库,默认情况是允许远程连接数据的。为了禁止该功能,启动skip-networking,不监听sql的任何TCP/IP的连接,切断远程访问的权利,保证安全性。假如需要远程管理数据库,可通过安装PhpMyadmin来实现。假如确实需要远程连接数据库,至少修改默认的监听端口,同时添加防火墙规则,只允许可信任的网络的mysql监听端口的数据通过。

# vi /etc/my.cf
将#skip-networking注释去掉。
# /usr/local/mysql/bin/mysqladmin -u root -p shutdown //停止数据库
#/usr/local/mysql/bin/mysqld_safe --user=mysql & //后台用mysql用户启动mysql

7、限制连接用户的数量
数据库的某用户多次远程连接,会导致性能的下降和影响其他用户的操作,有必要对其进行限制。可以通过限制单个账户允许的连接数量来实现,设置my.cnf文件的mysqld中的max_user_connections变量来完成。GRANT语句也可以支持 资源控制选项来限制服务器对一个账户允许的使用范围。

#vi /etc/my.cnf
[mysqld]
max_user_connections 2

8、用户目录权限限制
默认的mysql是安装在/usr/local/mysql,而对应的数据库文件在/usr/local/mysql/var目录下,因此,必须保证该目录不能让未经授权的用户访问后把数据库打包拷贝走了,所以要限制对该目录的访问。确保mysqld运行时,只使用对数据库目录具有读或写权限的linux用户来运行。
# chown -R root  /usr/local/mysql/  //mysql主目录给root
# chown -R mysql.mysql /usr/local/mysql/var //确保数据库目录权限所属mysql用户

9、命令历史记录保护
数据库相关的shell操作命令都会分别记录在.bash_history,如果这些文件不慎被读取,会导致数据库密码和数据库结构等信息泄露,而登陆数据库后的操作将记录在.mysql_history文件中,如果使用update表信息来修改数据库用户密码的话,也会被读取密码,因此需要删除这两个文件,同时在进行登陆或备份数据库等与密码相关操作时,应该使用-p参数加入提示输入密码后,隐式输入密码,建议将以上文件置空。

# rm .bash_history .mysql_history  //删除历史记录
# ln -s /dev/null .bash_history   //将shell记录文件置空
# ln -s /dev/null .mysql_history  //将mysql记录文件置空

10、禁止MySQL对本地文件存取
在mysql中,提供对本地文件的读取,使用的是load data local infile命令,默认在5.0版本中,该选项是默认打开的,该操作令会利用MySQL把本地文件读到数据库中,然后用户就可以非法获取敏感信息了,假如你不需要读取本地文件,请务必关闭。

测试:首先在测试数据库下建立sqlfile.txt文件,用逗号隔开各个字段
# vi sqlfile.txt
1,sszng,111
2,sman,222
#mysql> load data local infile 'sqlfile.txt' into table users fields terminated by ','; //读入数据
#mysql> select * from users;
+--------+------------+----------+
| userid  | username   | password |
+--------+------------+----------+
|      1 | sszng    | 111   |
|      2 | sman    | 222  |
+--------+------------+----------+  

成功的将本地数据插入数据中,此时应该禁止MySQL中用"LOAD DATA LOCAL INFILE"命令。网络上流传的一些攻击方法中就有用它LOAD DATA LOCAL INFILE的,同时它也是很多新发现的SQL Injection攻击利用的手段!黑客还能通过使用LOAD DATALOCAL INFILE装载"/etc/passwd"进一个数据库表,然后能用SELECT显示它,这个操作对服务器的安全来说,是致命的。可以在my.cnf中添加local-infile=0,或者加参数local-infile=0启动mysql。

#/usr/local/mysql/bin/mysqld_safe --user=mysql --local-infile=0 &
#mysql> load data local infile 'sqlfile.txt' into table users fields terminated by ',';
#ERROR 1148 (42000): The used command is not allowed with this MySQL version

--local-infile=0选项启动mysqld从服务器端禁用所有LOAD DATA LOCAL命令,假如需要获取本地文件,需要打开,但是建议关闭。

11、MySQL服务器权限控制
MySQL权限系统的主要功能是证实连接到一台给定主机的用户,并且赋予该用户在数据库上的SELECT、INSERT、UPDATE和DELETE等权限(详见user超级用户表)。它的附加的功能包括有匿名的用户并对于MySQL特定的功能例如LOAD DATA INFILE进行授权及管理操作的能力。

管理员可以对user,db,host等表进行配置,来控制用户的访问权限,而user表权限是超级用户权限。只把user表的权限授予超级用户如服务器或数据库主管是明智的。对其他用户,你应该把在user表中的权限设成'N'并且仅在特定数据库的基础上授权。你可以为特定的数据库、表或列授权,FILE权限给予你用LOAD DATA INFILE和SELECT ... INTO OUTFILE语句读和写服务器上的文件,任何被授予FILE权限的用户都能读或写MySQL服务器能读或写的任何文件。(说明用户可以读任何数据库目录下的文件,因为服务器可以访问这些文件)。 FILE权限允许用户在MySQL服务器具有写权限的目录下创建新文件,但不能覆盖已有文件在user表的File_priv设置Y或N。,所以当你不需要对服务器文件读取时,请关闭该权限。

#mysql> load data infile 'sqlfile.txt' into table loadfile.users fields terminated by ',';
Query OK, 4 rows affected (0.00 sec) //读取本地信息sqlfile.txt'
Records: 4  Deleted: 0  Skipped: 0  Warnings: 0
#mysql> update user set File_priv='N' where user='root'; //禁止读取权限
Query OK, 1 row affected (0.00 sec)
Rows matched: 1  Changed: 1  Warnings: 0
mysql> flush privileges; //刷新授权表
Query OK, 0 rows affected (0.00 sec)
#mysql> load data infile 'sqlfile.txt' into table users fields terminated by ','; //重登陆读取文件
#ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES) //失败
# mysql> select * from loadfile.users into outfile 'test.txt' fields terminated by ',';
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
为了安全起见,随时使用SHOW GRANTS语句检查查看谁已经访问了什么。然后使用REVOKE语句删除不再需要的权限。

12、使用chroot方式来控制MySQL的运行目录
Chroot是linux中的一种系统高级保护手段,它的建立会将其与主系统几乎完全隔离,也就是说,一旦遭到什么问题,也不会危及到正在运行的主系统。这是一个非常有效的办法,特别是在配置网络服务程序的时候。

13、关闭对Web访问的支持
如果不打算让Web访问使用MySQL数据库,没有提供诸如PHP这样的Web语言的时候,重新设置或编译你的PHP,取消它们对MySQL的默认支持。假如服务器中使用php等web程序,试试用Web形式非法的请求,如果得到任何形式的MySQL错误,立即分析原因,及时修改Web程序,堵住漏洞,防止MySQL暴露在web面前。
对于Web的安全检查,在MySQL官方文档中这么建议,对于web应用,至少检查以下清单:
    试试用Web形式输入单引号和双引号('''和'"')。如果得到任何形式的MySQL错误,立即分析原因。
    试试修改动态URL,可以在其中添加%22('"')、%23('#')和%27(''')。
    试试在动态URL中修改数据类型,使用前面示例中的字符,包括数字和字符类型。你的应用程序应足够安全,可以防范此类修改和类似攻击。
    试试输入字符、空格和特殊符号,不要输入数值字段的数字。你的应用程序应在将它们传递到MySQL之前将它们删除或生成错误。将未经过检查的值传递给MySQL是很危险的!
    将数据传给MySQL之前先检查其大小。
    用管理账户之外的用户名将应用程序连接到数据库。不要给应用程序任何不需要的访问权限。

14、数据库备份策略
一般可采用本地备份和网络备份的形式,可采用MySQL本身自带的mysqldump的方式和直接复制备份形式,

直接拷贝数据文件最为直接、快速、方便,但缺点是基本上不能实现增量备份。为了保证数据的一致性,需要在备份文件前,执行以下 SQL 语句:FLUSH TABLES WITH READ LOCK;也就是把内存中的数据都刷新到磁盘中,同时锁定数据表,以保证拷贝过程中不会有新的数据写入。这种方法备份出来的数据恢复也很简单,直接拷贝回原来的数据库目录下即可。

使用mysqldump可以把整个数据库装载到一个单独的文本文件中。这个文件包含有所有重建您的数据库所需要的SQL命令。这个命令取得所有的模式(Schema,后面有解释)并且将其转换成DDL语法(CREATE语句,即数据库定义语句),取得所有的数据,并且从这些数据中创建INSERT语句。这个工具将您的数据库中所有的设计倒转。因为所有的东西都被包含到了一个文本文件中。这个文本文件可以用一个简单的批处理和一个合适SQL语句导回到MySQL中。

使用 mysqldump进行备份非常简单,如果要备份数据库" nagios_db_backup ",使用命令,同时使用管道gzip命令对备份文件进行压缩,建议使用异地备份的形式,可以采用Rsync等方式,将备份服务器的目录挂载到数据库服务器,将数据库文件备份打包在,通过crontab定时备份数据:

#!/bin/sh
time=`date +"("%F")"%R`
$/usr/local/mysql/bin/mysqldump -u nagios -pnagios nagios | gzip >/home/sszheng/nfs58/nagiosbackup/nagios_backup.$time.gz
# crontab -l
# m h  dom mon dow   command
00 00 * * * /home/sszheng/shnagios/backup.sh

恢复数据使用命令:
gzip -d nagios_backup.\(2008-01-24\)00\:00.gz
nagios_backup.(2008-01-24)00:00
#mysql -u root -p nagios       <  /home/sszheng/nfs58/nagiosbackup/nagios_backup.\(2008-01-24\)12\:00


三、Mysqld安全相关启动选项
下列mysqld选项影响安全:
    --allow-suspicious-udfs
该选项控制是否可以载入主函数只有xxx符的用户定义函数。默认情况下,该选项被关闭,并且只能载入至少有辅助符的UDF。这样可以防止从未包含合法UDF的共享对象文件载入函数。
    --local-infile[={0|1}]
如果用--local-infile=0启动服务器,则客户端不能使用LOCAL in LOAD DATA语句。
    --old-passwords
强制服务器为新密码生成短(pre-4.1)密码哈希。当服务器必须支持旧版本客户端程序时,为了保证兼容性这很有用。
     (OBSOLETE) --safe-show-database
在以前版本的MySQL中,该选项使SHOW DATABASES语句只显示用户具有部分权限的数据库名。在MySQL 5.1中,该选项不再作为现在的 默认行为使用,有一个SHOW DATABASES权限可以用来控制每个账户对数据库名的访问。
    --safe-user-create
如果启用,用户不能用GRANT语句创建新用户,除非用户有mysql.user表的INSERT权限。如果你想让用户具有授权权限来创建新用户,你应给用户授予下面的权限:
mysql> GRANT INSERT(user) ON mysql.user TO 'user_name'@'host_name';
这样确保用户不能直接更改权限列,必须使用GRANT语句给其它用户授予该权限。
    --secure-auth
不允许鉴定有旧(pre-4.1)密码的账户。
    --skip-grant-tables
这个选项导致服务器根本不使用权限系统。这给每个人以完全访问所有的数据库的权力!(通过执行mysqladmin flush-privileges或mysqladmin eload命令,或执行FLUSH PRIVILEGES语句,你能告诉一个正在运行的服务器再次开始使用授权表。)
    --skip-name-resolve
主机名不被解析。所有在授权表的Host的列值必须是IP号或localhost。
    --skip-networking
在网络上不允许TCP/IP连接。所有到mysqld的连接必须经由Unix套接字进行。
    -skip-show-database
使用该选项,只允许有SHOW DATABASES权限的用户执行SHOW DATABASES语句,该语句显示所有数据库名。不使用该选项,允许所有用户执行SHOW DATABASES,但只显示用户有SHOW DATABASES权限或部分数据库权限的数据库名。请注意全局权限指数据库的权限。 ]]> 每天MySQL自动优化 tag:www.dbasky.net,2011://1.175 2011-03-09T08:16:24Z 2011-03-09T08:19:32Z [root@bbs ~]# /usr/local/mysql/bin/mysqlcheck -Aao -auto-repair -uroot -p下面说下几个参数的含义 -a, --analyze 分析 [Analyze given tables]-o, --optimize 优化 [Optimize table]-A, --all-databases 所有的数据库 [Check all the database]--auto-repair 自动修复 [If a checked table is corrupted, automatically fix it. Repairing will be done after all tables... Mike.Xu http://www.dbasky.net

下面说下几个参数的含义

-a, --analyze 分析 [Analyze given tables]
-o, --optimize 优化 [Optimize table]
-A, --all-databases 所有的数据库 [Check all the database]
--auto-repair 自动修复 [If a checked table is corrupted, automatically fix it. Repairing will be done after all tables have been checked, if corrupted ones were found]

vi /opt/shell/mysql_opt.sh

/usr/local/mysql/bin/mysqlcheck -Aao -auto-repair -uroot -p


加入 crontab

* * */1 * *  /opt/shell/mysql_opt.sh

]]> 删除文件夹下所有.svn文件 tag:www.dbasky.net,2011://1.174 2011-03-01T07:48:35Z 2011-02-28T07:50:15Z 方法一:find / -name .svn | xargs rm -rf方法二:ls -alR | grep .svn/ | xargs rm -rf... Mike.Xu http://www.dbasky.net find / -name .svn | xargs rm -rf
方法二:
ls -alR | grep .svn/ | xargs rm -rf ]]> vim替换^M字符 tag:www.dbasky.net,2011://1.173 2011-02-28T07:11:46Z 2011-02-28T07:21:34Z Mike.Xu http://www.dbasky.net 1.使用dos2unix命令。一般的分发版本中都带有这个小工具(如果没有可以根据下面的连接去下载),使用起来很方便:
$ dos2unix myfile.txt
上面的命令会去掉行尾的^M。
2.使用vi的替换功能。启动vi,进入命令模式,输入以下命令:
:%s/^M$//g # 去掉行尾的^M。
:%s/^M//g # 去掉所有的^M。
:%s/^M/[ctrl-v]+[enter]/g # 将^M替换成回车。
:%s/^M/\r/g # 将^M替换成回车。
3.使用sed命令。和vi的用法相似:
$ sed -e 's/^M/\n/g' myfile.txt
注意:这里的"^M"要使用"CTRL-V CTRL-M"生成,而不是直接键入"^M"。 ]]> 国内访问twitter tag:www.dbasky.net,2011://1.172 2011-02-10T08:05:58Z 2011-02-10T08:27:03Z 打开Windows系统的hosts文件(VISTA WIN7 用管理员权限打开文件)这个文件C:\WINDOWS\system32\drivers\etc\hosts 在最后加入这么几行: 65.49.26.99 twitter.com65.49.26.98 si0.twimg.com65.49.26.98 si1.twimg.com65.49.26.98 si2.twimg.com65.49.26.98 si3.twimg.com65.49.26.98 si4.twimg.com65.49.26.98 si5.twimg.com65.49.26.97 api.twitter.com 保存文件。然后重新打开浏览器,直接访问 https://twitter.com (是HTTPS 不是HTTP)... Mike.Xu http://www.dbasky.net 打开Windows系统的hosts文件
(VISTA WIN7 用管理员权限打开文件)
这个文件
C:\WINDOWS\system32\drivers\etc\hosts

在最后加入这么几行:

65.49.26.99 twitter.com
65.49.26.98 si0.twimg.com
65.49.26.98 si1.twimg.com
65.49.26.98 si2.twimg.com
65.49.26.98 si3.twimg.com
65.49.26.98 si4.twimg.com
65.49.26.98 si5.twimg.com
65.49.26.97 api.twitter.com

保存文件。
然后重新打开浏览器,直接访问 https://twitter.com (是HTTPS 不是HTTP)

]]> 强制刷新本地 DNS 缓存记录 tag:www.dbasky.net,2011://1.171 2011-02-01T04:36:21Z 2011-01-31T06:58:11Z Mike.Xu http://www.dbasky.net
一、Windows 客户端
获得缓存中的DNS :
ipconfig /displaydns
强制清除DNS 缓存:
ipconfig /flushdns
   如果您觉得DNS Client服务带来麻烦,可以用在控制面板----服务 中停止,或使用下面的命令停止该服务:
net stop dnscache
重启动DNS Client服务:
net start dnscache
二、Linux 客户端
开启本地DNS 缓存的服务。
# chkconfig --list|grep nscd
nscd            0:关闭  1:关闭  2:关闭  3:关闭  4:关闭  5:关闭  6:关闭

该服务除了提供DNS 缓存外,可提供NIS 加速的作用。
启动本地DNS 缓存服务即可:
# service nscd start
反之
# service nscd stop

需要注意的是,在linux下没有强制清除DNS缓存的命令。但是,我们可以通过删除其后台数据库记录信息,达到清除DNS缓存的目的:
# rm /var/db/nscd/hosts
# service nscd restart
三、Linux Bind 服务
有时候,我们的客户端是处于某台DNS 缓存服务器后面的。常见的情况是,作为NAT 网关的Linux 服务器,通过bind 服务,提供DNS 缓存和转发功能。这可通过配置/etc/named.conf,加入forward来实现:
options {
        directory "/var/named";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        forward only;
        forwarders {
                    202.106.0.20;
        };

};

这时,客户端对外的DNS 解析结果,除保留在客户端本地的DNS 缓存中,同样会保留在这台网关服务器上。还有一种情况就是,当我们修改named 提供的DNS服务时,也需要刷新缓存。
bind 提供的rndc 命令可以清空缓存的功能:
# rndc flush ]]> linux 查看自己系统装于何时 tag:www.dbasky.net,2011://1.170 2011-01-31T03:45:15Z 2011-01-31T03:47:25Z Mike.Xu http://www.dbasky.net  
ls -lct /etc/ | tail -1 | awk '{print $6, $7, $8}' ]]>