网站web服务器对内部及外网用户开放，文件服务器，数据库服务器只对企业内部访问。请问怎么利用ACL配置？

Web服务器一般指网站服务器，是指驻留于因特网上某种类型计算机的程序，可以向浏览器等Web客户端提供文档，[1] 也可以放置网站文件，让全世界浏览；可以放置数据文件，让全世界下载。目前最主流的三个Web服务器是Apache Nginx IIS。

Web服务器是可以向发出请求的浏览器提供文档的程序。

1、服务器是一种被动程序：只有当Internet上运行其他计算机中的浏览器发出的请求时，服务器才会响应

。

2 、最常用的Web服务器是Apache和Microsoft的Internet信息服务器（Internet Information Services，IIS）。

3、Internet上的服务器也称为Web服务器，是一台在Internet上具有独立IP地址的计算机，可以向Internet上的客户机提供WWW、Email和FTP等各种Internet服务。

4、Web服务器是指驻留于因特网上某种类型计算机的程序。当Web浏览器（客户端）连到服务器上并请求文件时，服务器将处理该请求并将文件反馈到该浏览器上，附带的信息会告诉浏览器如何查看该文件（即文件类型）。服务器使用HTTP（超文本传输协议）与客户机浏览器进行信息交流，这就是人们常把它们称为HTTP服务器的原因。

Web服务器不仅能够存储信息，还能在用户通过Web浏览器提供的信息的基础上运行脚本和程序。

文件服务器是一种器件，它的功能就是向服务器提供文件。它加强了存储器的功能，简化了网络数据的管理。它一则改善了系统的性能，提高了数据的可用性，二则减少了管理的复杂程度，降低了运营费用。

在客机与服务器模式下，文件服务器（file server）是一台对中央存储和数据文件管理负责的计算机，这样在同一网络中的其他计算机就可以访问这些文件。文件服务器允许用户在网络上共享信息，而不用通过软磁盘或一些其它外部存储设备来物理地移动文件。任何计算机都能被设置为主机，并作为文件服务器（file server）运行。最简单的形式是，文件服务器可以是一台普通的个人计算机，它处理文件要求并在网络中发送它们。在更复杂的网络中，文件服务器也可以是一台专门的网络附加存储（NAS）设备，它也可以作为其他计算机的远程硬盘驱动器来运行，并允许网络中的人像在他们自己的硬盘中一样在服务器中存储文件

文件服务器（fs服务器），具有分时系统文件管理的全部功能,提供网络用户访问文件、目录的并发控制和安全保密措施的局域网（LAN）服务器。

在计算机局域网中，以文件数据共享为目标，需要将供多台计算机共享的文件存放于一台计算机中。这台计算机就被称为文件服务器。

文件服务器具有分时系统管理的全部功能，能够对全网统一管理，能够提供网络用户访问文件、目录的并发控制和安全保密措施。

“文件服务器“英文是File server语境文件系统

一台特殊功能的计算机，其主要目的是向客户机提供文件服务。文件服务器可以是一台能够运行其他应用的通用计算机，也可以是一台专门提供文件服务的专用计算机。

首先这台内部服务器所在的网络环境下有公网，也就是路由器设有固定公网IP，假设公网IP是20296134133，以8080端口来绑定1921681100，不同设备设置略不同但原理一样，在局域网外访问输入20296134133:8080，就能访问到192168100这台服务器上了

作为MySQL管理员的您，在维护MySQL安装的安全性和完整性方面能够做些什么。在本文中，我们将更详细地讨论以下与安全性相关的问题：

为什么说安全性是重要的，应该警惕哪些攻击？

从服务器主机中的用户那里您将面临什么风险（内部安全性），能做什么？

从在网络上连接到服务器的客户机那里您将面临什么风险（外部安全性），能做什么？

MySQL管理员有责任保护数据库内容的安全，使得记录只能由经过严格认证的那些用户访问。这包括内部安全性和外部安全性。

内部安全性关心文件系统级的问题，如保护MySQL数据目录免遭拥有运行服务器的机器账号的用户的攻击。但是，如果数据目录内容的文件许可权过分随意，有人可以将对应这些表的文件进行简单的替换的话，内部安全性就不能很好地确保适当建立对网络上客户机访问的授权表的控制。

外部安全性关心客户机从外部连接的问题，如防止MySQL服务器免遭通过网络进来的通过服务器的连接请求对数据库内容访问的攻击。要建立MySQL授权表使得它们不允许对服务器所管理的数据库的访问（除非提供了有效的名字和口令）。

本文提供了应该了解的有关问题的指导，并说明如何防止内部和外部级别中未认证的访问。

MySQL服务器提供了一个通过mysql数据库中的授权表来实现的灵活的权限系统。可以设置这些表的内容来允许或拒绝数据库对客户机的访问。这提供了关于未认证的网络访问数据的安全性。但是，如果服务器主机上的其他用户具有对该数据目录内容的直接访问权，则将不能对访问数据的网络建立良好的安全性。除非知道您是曾在运行MySQL服务器的机器上注册的惟一的一个人，否则需要关心在该机器上的其他用户获得对数据目录访问的可能性。

以下是您想要保护的内容：

数据库文件。显然想要维护由服务器维护的数据库的保密性。数据库的所有者通常要考虑数据库内容的专有性。即使他们不考虑，也最多是使数据库的内容公共化，而不会使那些内容因数据库目录安全性低而被泄露。

日志文件。常规和更新日志必须安全，因为它们包含了查询文本。这有相当的利害关系，因为具有日志文件访问的任何人都可以监控发生在数据库中的事务处理。

与日志文件有关的更为特殊的安全性问题是，像GRANT 和SET PASSWORD 这样的查询被记录在日志中了。常规和更新日志文件包含敏感的查询文本，其中包括了口令（MySQL使用口令加密，但这只适用于在口令设置之后的连接建立。设置口令的过程包含在GRANT、INSERT 或SET PASSWORD 这样的查询中，但这些查询以纯文本的形式被记录。）如果一个攻击者具有对日志的读访问权，那他只需在日志中对GRANT 或PASSWORD 这样的词运行grep 就能找到敏感信息。

显然，您不想让服务器主机上的其他用户拥有对数据目录文件的写访问权，因为那样的话，他们就可以在状态文件或数据库表上肆意践踏。但读访问也很危险。如果表文件可读取，那么窃取文件并使MySQL自己以纯文本的形式显示表的内容是微不足道的事。可按下列步骤进行：

1) 在服务器主机上安装您的MySQL服务器，但使用与正式服务器不同的端口、套接字和数据文件。

2) 运行mysql_install_db 初始化您的数据目录。这将允许您作为MySQL的root 用户访问服务器，因此您将具有完全控制服务器访问机制的权利。它还建立了一个test 数据库。

3) 将您想窃取的表的相应文件拷贝到服务器数据目录下的test 子目录中。

4) 启动作案服务器。您可以随意访问这些表。SHOW TABLES FROM test 将显示您拥有一个被窃取表的备份， SELECT 将显示任何这些表的全部内容。

5) 如果更坏一点，打开服务器的匿名用户账号的许可权，使任何人都能从任何地方连接到该服务器来访问您的test 数据库。现在，您已经向全世界公布了这些被偷窃的表。

考虑一下刚才的情况，然后颠倒过来想。您希望有人对您这样做吗？当然不要。

通过在数据目录中执行ls -l 可以确定数据目录中是否包含非安全的文件或目录。应查看具有以开启的“组”或“其他”许可权的文件或目录。以下是一个非安全数据目录的部分列表，是该数据目录中的一部分数据库目录：

正如您所看到的，有些数据库目录有正确的许可权，而有些则不是这样。本例中的情况是由于时间引起的。较老的服务器创建了限制较少的许可权，且较老的服务器与较新的服务器相比，在设置许可权方面不严格（请注意，有更多限制的目录， menager 和t m p，都有更为新的日期）。MySQL当前的版本确保这些文件只对服务器运行的用户可读。

让我们来安排这些许可权，使得只有服务器的用户才能访问它们。主要的保护手段来自由UNIX 文件系统本身提供的工具，这些工具可设置文件和目录的所有权及方式。操作步骤如下：

1) 定位到数据目录中：% cd DATADIR

2 ) 设置该数据目录下所有文件的所有权为运行该服务器的账号所拥有（必须以root 身份执行这一步）。在本书中，笔者对此账号的用户名和组名使用mysqladm 和mysqlg r p。可以用下列命令之一修改所有权：

# chown -R mysqladminmysqlgrp

# find -follow -type d -print | xargs chown mysqladminmysqlgrp

3 ) 修改数据目录和数据库目录的方式，使得它们仅对于mysqladm 是可读的。这样防止了其他用户访问数据目录的内容。可以利用下列命令之一来进行，这些命令或者以root 或者以mysqladm 运行（后者更好，可以使作为root 运行的命令数量最小化）：

% chmod -R go-rwx

% find -follow -type d -print | xargs chmod go -rwx

4 ) 对mysqladm 用户设置数据目录内容的所有权和方式。现在，您应该确保总是以mysqladm 运行，因为它现在是唯一拥有该数据目录访问权的用户。

在上述步骤之后，将拥有以下许可权：