Satu langkah wajib setelah menginstall MySQL

Proses install database server MySQL adalah hal yang mudah dan biasanya langsung digunakan begitu saja oleh PHP hanya dengan setting apa password rootnya. Tapi sebenarnya ada satu langkah wajib yang harus dilakukan setelah instalasinya, yaitu mengamankan settingnya yang default. Anda tidak harus bersusah – susah mengedit file my.cnf kok karena sudah ada cara yang gampang. 🙂

Catatan saja cara berikut berlaku untuk MySQL, MariaDB, Percona Server dan mungkin fork – fork lainnya yang belum saya ketahui. Saya mencontohkan pada VPS dengan sistem operasi Debian yang telah terpasang MariaDB 5.5.45. Anda tinggal mengeksekusi perintah berikut:

mysql_secure_installation

Nanti akan muncul balasan seperti berikut, peringatan dan konfirmasi pengamanan instalasi database server dan kemudian login sebagai root MySQL:

NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB
      SERVERS IN PRODUCTION USE!  PLEASE READ EACH STEP CAREFULLY!

In order to log into MariaDB to secure it, we'll need the current
password for the root user.  If you've just installed MariaDB, and
you haven't set the root password yet, the password will be blank,
so you should just press enter here.

Enter current password for root (enter for none): 
OK, successfully used password, moving on...

Setting the root password ensures that nobody can log into the MariaDB
root user without the proper authorisation.

You already have a root password set, so you can safely answer 'n'.

Change the root password? [Y/n] n
 ... skipping.

By default, a MariaDB installation has an anonymous user, allowing anyone
to log into MariaDB without having to have a user account created for
them.  This is intended only for testing, and to make the installation
go a bit smoother.  You should remove them before moving into a
production environment.

Remove anonymous users? [Y/n] y
 ... Success!

Normally, root should only be allowed to connect from 'localhost'.  This
ensures that someone cannot guess at the root password from the network.

Disallow root login remotely? [Y/n] y
 ... Success!

By default, MariaDB comes with a database named 'test' that anyone can
access.  This is also intended only for testing, and should be removed
before moving into a production environment.

Remove test database and access to it? [Y/n] y
 - Dropping test database...
ERROR 1008 (HY000) at line 1: Can't drop database 'test'; database doesn't exist
 ... Failed!  Not critical, keep moving...
 - Removing privileges on test database...
 ... Success!

Reloading the privilege tables will ensure that all changes made so far
will take effect immediately.

Reload privilege tables now? [Y/n] y
 ... Success!

Cleaning up...

All done!  If you've completed all of the above steps, your MariaDB
installation should now be secure.

Thanks for using MariaDB!

Yang harus diperhatikan dari kutipan log perintah mysql_secure_installation diatas adalah beberapa hal:

  1. Change the root password? – Ini ditanyakan apakah ingin mengganti password root MySQL. Karena baru saja menginstall dan menggunakan kata sandi yang kuat maka saya jawab tidak.
  2. Remove anonymous users? – Menghapus user anonim, jenis pengguna ini bisa masuk ke database server tanpa username dan password. Diciptakan untuk testing sebenarnya, tapi banyak yang tidak tahu dan ada resiko disalahgunakan. Sebaiknya dibuang.
  3. Disallow root login remotely? – Mematikan akses user root dari luar server. Menggunakan root disarankan hanya dari dalam server itu sendiri untuk mencegah hal – hal yang tidak diinginkan.
  4. Remove test database and access to it? – Selain user untuk tes MySQL juga menyertakan sebuah database tes. Aman untuk dihapus.
  5. Reload privilege tables now? – Setelah semua setting diatas anda ikuti dan konfirmasi perubahannya maka perlu dicek ulang hak akses pengguna dan databasenya.

Mudah bukan? Pokoknya jangan sampai lupa menjalankan langkah ini untuk setiap instalasi baru MySQL/MariaDB/Percona untuk meningkatkan keamanan databasenya. Juga tidak ada efek negatifnya.

3 Comments

  1. Untuk debian dan debian base distro, mysql / mariadb. secara default menggunakan unix_socket authentification, sehingga debian user bisa mengakses database. Untuk lebih aman menurut hemat saya, jangan menggunakan unix_socket, sehingga kalo terlanjur ada yg login di server dengan debian user (yg punya akses root dengan sudo) tetep tidak bisa akses database, hal ini paling tidak ada dual layer security.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *