数据库安全要点，服务器密码不告诉别想进数据库，真得注意这事儿

这事儿是这么个情况，我有个朋友，老张，在一家公司管点事儿，他们公司不大，但业务数据挺重要，客户信息、订单记录啥的都在一个数据库里放着，以前他觉得这事儿没啥，服务器有密码，数据库也有密码,双保险呗。

结果就上个月，出事了，他们公司一个离职半年的程序员，不知道用什么方法，绕过了服务器的防线，直接摸进了数据库，把最近三个月的交易记录全给删了，你猜他怎么进去的？根本不是靠猜数据库密码，而是因为他太了解那台服务器了，他在职的时候，服务器的一个维护后门密码一直没改，还是他设的那个“Admin123!”，他抱着试试看的心态一登，居然成功了，进去之后，他就有至高无上的权限，看哪个数据库不顺眼,直接就能动手。

老张他们当时就傻眼了，业务停摆，技术团队折腾了两天才把数据从备份里恢复过来，但中间还是丢了一部分数据，客户投诉电话都快打爆了，这事儿给我的触动特别大，我以前也觉得，数据库密码设复杂点就行了，经过老张这事儿我才彻底明白，服务器就是数据库的家，你家大门钥匙要是被别人攥在手里，那你屋里那个保险柜密码设得再花哨，也等于零。

咱们得把顺序搞清楚，保护数据库，第一道坎儿根本不是数据库本身，而是它所在的服务器，这就好比你想保护藏宝箱，你得先确保你的海盗船别让人家给占了，船都丢了,箱子再结实也白搭。

那具体该怎么注意这个“服务器密码不告诉别想进数据库”的事儿呢？我从老张的教训和他后来请教专家学到的方法里,总结了这么几条实实在在的要点：

第一，服务器的访问权限，必须当成最高机密来管，谁有权限登录服务器，这事儿得慎之又慎，不能是个人就知道密码，最好是搞个权限分级，比如只有核心运维人员才有最高权限（root或者Administrator权限），其他开发人员如果需要临时操作，可以通过申请临时权限或者由有权限的人代执行，像老张公司那个后门账户，员工离职后必须第一时间禁用或者彻底修改密码,不能留任何情面。

第二，光有密码还不够，得上双因子认证，这是老张他们后来强制推行的，意思是，你光知道密码不行，还得再通过一道验证，比如你手机上有个动态验证码APP，生成了一个一次性的码，输入这个码才能登录，这样就算密码不小心泄露了，坏蛋没有你的手机，他也进不来,这就给大门上了第二把锁。

第三，定期改密码，别一个密码用到底，特别是像那种默认的 administrator 或者 root 密码，安装完系统第一件事就是改掉它，然后设定个规矩，比如每三个月或者半年，强制更换一次服务器的重要密码，虽然麻烦点,但安全。

第四，记录谁什么时候登录过服务器，这叫日志审计，服务器得开着日志功能，清清楚楚地记下来哪个账户、在什么时间、从哪个IP地址登录了，干了啥，这样万一出了事，就像查监控一样，能快速找到是谁干的，怎么干的，老张他们当初要是有详细日志,也不至于排查了好几天。

第五，数据库本身也别完全暴露在服务器内部，意思是，即使有人进了服务器，想连接数据库，也不能让他太轻松，数据库的监听端口不要用默认的3306或者1433，改个不常用的端口号，数据库的登录账户也别用那种能通杀一切的超级管理员账户，根据不同的应用，创建权限最小的账户，只给它能完成本职工作所必需的最低权限，这叫“最小权限原则”，这样就算坏人进了服务器，他想直接操作数据库,也会发现困难重重。

核心思想就一句话：把服务器看得比数据库还重。 数据库安全是个系统工程，它是一环扣一环的，服务器密码是这整个链条里最粗、也是最容易被人忽视的一环，你把它守好了，就相当于把敌人挡在了护城河外面，要是这一环断了，后面的防线再坚固,也经不住人家从内部破坏。

老张现在逢人就念叨这个，算是吃了大亏买来的教训，所以真得注意这事儿，千万别觉得“我有数据库密码我怕谁”,那把钥匙可能根本不在你手里。