'쇠똥굴리기(BOOK)'에 해당되는 글 29건

1. 지침

- 여기서 설명하는 일반적인 지침은 운영체제 수준 보안에 관한 포괄적인 지침은 아니다. 보안에 관련해 더 심도있게 공부하려면 simson Carfinkel의 저서인 Practical Unix and Internet Security(O'Reilly 출판사)을 참고하기 바란다. 여기서는 데이터베이스 서버에 적걸한 보안을 유지하는 법에 대해 알아보자.

1) 권한이 주어진 계정에 Mysql을 실행하지 말라

- Root가 뚫리면 다 뚫린다. root 계정으로 mysql을 실행하지 말고 mysql과 같은 사용자 계정을 만들어 mysql을 실행해야한다.

2) 운영체제를 최신 버전으로 유지하라

- OS의 보안업데이트 반드시 하자

3) 데이터베이스 호스트에 로그인 제한하기

- Mysql 기반 응용프로그램 개발자들이 서버계정이 필요한가?

  SE와 DBA만 계정이 필요하다. 개발자들은 TCP/IP를 통해 데이터베이스에 원격으로 쿼리를 실행시킬 수만 있으면 된다.

4) 운영 환경 데이터베이스를 다른 것과 분리하라

- 운영기와 테스트기를 분리하라. 물리적으로 아에 별도로 구축하는 것이 좋다.

  이렇게 하면 실수를 방지하고, 보수가 용이해진다.

5) 서버를 감시하라.

- 보안 컨설턴트 고용

6) 강력한 도구를 사용하라

- 백업 복사본을 다른 서버에 저장하는 것도 중요한 보안 방법이다. DB 서버에 침입해서 공격받았다면 OS부터 다시 설치해고 데이터 복구작업을 진행해야한다.

# 같은듯 다른 느낌(localhost vs 127.0.0.1)

localhost라는 호스트 이름은 일반적으로 IP주소 127.0.0.1의 다른 명칭이지만 Mysql에서는 다소 다른 기본동작을 보인다.

연결할 때 호스트 이름 매개변수로 localhost를 지정하면, 예상대로 기본적인 TCP/IP 대신 유닉스 소캣을 통해 연결을 시도한다.

그러므로 다음 명령은 유닉스 소켓을 통해 연결할 것이다.

mysql --host=localhost

이것은 사람들의 예측대로 작동하지 않으므로 좋지 않은 설계이지만 이를 변경하면 오래된 응용프로그램과 클라이언트 라이브러리와의 호환성이 깨질 수 있으므로, 변경하기엔 무리가 있다.

실행되는 장치에 TCP/IP로 연결하는 방법이 두가지 있다.

호스트 이름 대신 IP 주소를 지정하거나 프로토콜을 명시적으로 지정하는 것이다.

mysql --host=127.0.0.1

mysql --host=localhost --protocol=tcp

SSH 터널링을 구성할 때 localhost에서 정방향 TCP 포트에 연결을 시도하면 작동하지 않는다.

포트로 연결하려면 TCP를 사용해야하므로, 대신 IP 주소 127.0.0.1을 사용해야 한다.

이 호스트 이름에는 특별한 점이 또 있다. Mysql은 localhost를 % 와일드 카드에 포함시키지 않는다.

다시말해, user@'%'와 user@localhost에 권한을 지정하는 것은 중복이 아니다.

--> 똑같은 권한을 왜 두번이나 넣었지? 라고 생각했는데.. 다르구나..

1-1 Mysql의 논리적 아키텍처

Mysql의 스토리지 엔진

-- 테이블 생성시 xx.frm 파일이 만들어지고 파일안에는 테이블이름과 스키마 정의를 저장
-- show table status like '테이블이름' \G;

1) MyISAM 엔진
Full-text 인덱싱, 압축, 공간함수 지원, 트랜잭션 x, 행수준의 잠금지원x
스토리지 저장파일 : xxxx.MYD, xxxx.MYI
기능
/*
잠금과 동시성
- 테이블 전체를 잠금
자동복구
수동복구 - CHECK TABLE '테이블이름', REPAIR TABLE '테이블이름'
인덱스기능
지연된키 쓰기 - DELAY_KEY_WRITE 옵션이 ON으로 설정된 MyISAM 테이블은 쿼리 실행 마지막에 변경된 인덱스 데이터를 디스크에 기록하지 않고,
대신 메모리 상의 버퍼에 변경 내용을 버퍼링한다. MyISAM 테이블은 버퍼를 정리하거나 테이블을 닫을 때 인덱스 블록을 디스크로 flush 한다.
이러한 작업은 이용 빈도수가 높고 데이터 변경이 잦은 테이블의 성능을 높여준다. 그러나 서버나 시스템에 충돌이 나면 인덱스가 손상되므로 이를 복구해야한다.
서버를 다시 시작하기 전 myisamchk을 실행하는 스크립트나 자동복구 옵션을 이용해 이 상황을 처리한다.(DELAY_KEY_WRITE 옵션을 사용하지 않더라도 이렇게 하는 것은
매우 좋은 생각이다.) DELAY_KEY_WRITE는 전역적으로 또는 개별 테이블 기준으로 설정할 수 있다.
*/
2) InnoDB 엔진
트랜잭션 O, MVCC이용 4가지 격리수준을 모두 구현한다. REPEATABLE READ 가 DEfault
인덱스 압축을 지원x

3) Memory 엔진
매우빠름, HEAP 테이블, 재시작시 테이블 구조는 있지만, 데이터는 모두 사라짐
HASH 인덱스 사용, 테이블 수준의 잠금, TEXT BLOB 지원x
고정된 레코드만 지원하기 때문에 VARCHAR -> CHAR로 변경해야함(메모리낭비)
사용예)
--조회용 매핑용 테이블(우편번호를 주소에 매핑하는 테이블)
--주기적으로 집계되는 테이블의 결과 캐시용
--데이터 분석시 중간 결과 저장용

4) Archive 엔진
고속삽입과 압축 저장을 위해 최적화된 스토리진 엔진(replication작업 등)
INSERT와 SELECT 쿼리만 지원, zlib 압축, 인덱스 사용x

5) CSV 엔진
쉼표로 구분된 값으로 구성된 파일을 테이블로 처리할 수 있으나 인덱스는 지원x
데이터 교환하거나 일부 로깅작업에 매우 유용

6) Federated 엔진
원격 서버에 테이블 참조
INSERT 쿼리에 가장 유용, 조인이나 집계쿼리는 성능이슈있음

7) Blackhole 엔진
저장 메커니즘이 아에 없음, insert 쿼리는 버림
복제구성과 감사용 로깅에 유용

8) NDB 클러스터 엔진
shared nothing 아무것도 공유하지 않는 형태의 클러스터링 개념
NDB가 스토리지 엔진 수준이 아닌 Mysql 서버 수준에서 조인을 실행함, NDB의 모든 데이터는 네트워클르 거쳐 나오므로 복잡한 조인은 매우 느리다.
반면 단일 테이블 조회는 여러 데이터 노드가 결과를 구성하기 때문에 신속하다.

9) Falcon 엔진
MVCC

10) SolidDB 엔진
MVCC, InnoDB와 유사함

11) PBXT(Primebase XT) 엔진
트랜젝션 커밋의 오버헤드를 최대한 줄이기 위해 고안, 좀더 확인필요

12) Maria 엔진
MVCC

mysql 성능관련해서 심화과정을 공부할 수 있는 책으로
mysql high performance mysql의 번역본인데 현재 절판되어서 시중에서 구할 수는 없다. 원서는 3쇄 4쇄가 나오는데.. 번역본은 아직 소식이 없다..

아직 공부중이며 Mysql sale out를 고려할 때 쯤엔 한번은 꼭 봐야할 책이라 생각한다.

Mysql Bible