Este sistema gestor de bases de datos relacional de código abierto es muy popular entre quienes alojan sitios web. Es gratuito y ofrece todas las funciones necesarias para ejecutar servidores y aplicaciones relacionadas. Este software, como muchos otros, incorpora ciertas medidas de seguridad que lo protegen frente a diversos virus, malware y ataques de hackers. Aunque la mayoría de los ajustes predeterminados son satisfactorios, se pueden realizar ciertos cambios para asegurar aún más este programa. Existen algunas acciones que todo usuario de Linux VPS puede implementar para mejorar la protección de su sistema MySQL contra intrusos.
Cambios óptimos en la configuración
Es preferible asegurar el software durante el proceso de instalación. Normalmente, los usuarios establecen una nueva contraseña para la cuenta root utilizando el script “mysql_secure_installation”, deshabilitan los inicios de sesión remotos del usuario root y eliminan las cuentas de usuarios anónimos. Después de la configuración inicial, se recomienda:
- Exigir que todas las cuentas de MySQL tengan contraseña. El programa no puede identificar qué persona lo está ejecutando físicamente. Cualquiera podría acceder simplemente invocándolo como “mysql -u otro_usuario db_name” si “otro_usuario” no tiene contraseña. Cuando todas las cuentas están protegidas, es mucho más difícil conectarse al sistema a través de ellas y modificar archivos cruciales para el sistema y el Linux VPS.
- Nunca ejecutar el servidor MySQL como usuario root de Unix. Cualquier usuario con privilegios de archivo puede crear archivos con permisos de root, lo cual es peligroso para el software. El proceso mysqld debe ejecutarse como un usuario ordinario y sin privilegios especiales. Minimiza este riesgo creando una cuenta Unix separada que se utilice únicamente para la administración de MySQL.
- Cifrar los archivos binarios y los registros de relay (relay log files). El cifrado protege los datos sensibles que contienen estos archivos, evitando que sean vistos por personas no autorizadas o mal utilizados por posibles atacantes. Para habilitarlo en el software, configura la variable “binlog_encryption” en “ON”.
Estos simples cambios garantizarán una mayor protección para MySQL y, a su vez, para tus servidores y aplicaciones Linux VPS. Las personas no deseadas no podrán acceder ni modificar datos sensibles.
Configuración adicional de permisos
Existen algunas acciones complementarias relacionadas con permisos y privilegios que pueden reforzar la seguridad del sistema:
- No conceder privilegios de archivo o de procesos a usuarios no administrativos. Cualquier usuario que disponga de estos permisos puede crear y leer archivos en el sistema, o visualizar la lista de procesos y las consultas que realizan otros. Esto es muy peligroso, ya que atacantes podrían abusar de ese poder para terminar conexiones de clientes, modificar operaciones del servidor, controlar servidores de replicación y más.
- No permitir el uso de enlaces simbólicos (symlinks) a tablas. Desactiva esta capacidad con la opción “—skip-symbolic-links”. Esto resulta fundamental si mysqld se ejecuta como root, ya que cualquier persona podría acceder y reescribir el directorio de datos del servidor, eliminando archivos esenciales para el sistema y los servidores Linux VPS.
Estos privilegios deben concederse únicamente a un número limitado de usuarios de confianza para evitar ataques o la eliminación accidental de archivos críticos.
Proteger el programa MySQL es mucho más sencillo de lo que parece; basta con realizar estos pocos cambios adicionales en la configuración predeterminada. Son vitales para quienes desean evitar que personas no autorizadas accedan, modifiquen o eliminen datos sensibles y realicen tareas importantes del sistema. Esto garantiza una protección superior tanto de la base de datos como de las aplicaciones que dependen de ella, como en el caso de los sistemas Linux VPS.
