MySql數(shù)據(jù)庫安全配置基線(共15頁)_第1頁
MySql數(shù)據(jù)庫安全配置基線(共15頁)_第2頁
MySql數(shù)據(jù)庫安全配置基線(共15頁)_第3頁
MySql數(shù)據(jù)庫安全配置基線(共15頁)_第4頁
MySql數(shù)據(jù)庫安全配置基線(共15頁)_第5頁
已閱讀5頁,還剩10頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、MysqlMysql 數(shù)據(jù)庫系統(tǒng)安全配置基線數(shù)據(jù)庫系統(tǒng)安全配置基線版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人審批人審批人V2.0創(chuàng)建2012 年 4 月備注:備注:1. 若此文檔需要日后更新,請創(chuàng)建人填寫版本控制表格,否則刪除版本控制表格。目目 錄錄第第 1 章章概述概述.41.1目的.41.2適用范圍.41.3適用版本.41.4實(shí)施.41.5例外條款.4第第 2 章章帳號帳號.52.1帳號安全.52.1.1禁止 Mysql 以管理員帳號權(quán)限運(yùn)行.52.1.2避免不同用戶間共享帳號*.52.1.3刪除無關(guān)帳號*.6第第 3 章章口令口令.83.1口令安全.83.1.1不使用默

2、認(rèn)密碼和弱密碼.83.2授權(quán).83.2.1分配用戶最小權(quán)限*.8第第 4 章章日志日志.104.1日志審計.104.1.1配置日志功能*.10第第 5 章章其他其他.125.1其他配置.125.1.1安裝了最新的安全補(bǔ)丁*.125.1.2如果不需要,應(yīng)禁止遠(yuǎn)程訪問*.125.1.3可信 IP 地址訪問控制*.135.1.4連接數(shù)設(shè)置.14第第 6 章章評審與修訂評審與修訂.15第第 1 章章概述概述1.1 目的目的本文檔旨在指導(dǎo)數(shù)據(jù)庫管理人員進(jìn)行 Mysql 數(shù)據(jù)庫系統(tǒng)的安全配置。1.2 適用范圍適用范圍本配置標(biāo)準(zhǔn)的使用者包括:數(shù)據(jù)庫管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。1.3 適用版本適用版本

3、Mysql 數(shù)據(jù)庫系統(tǒng)。1.4 實(shí)施實(shí)施1.5 例外條款例外條款第第 2 章章帳號帳號2.1 帳號安全帳號安全2.1.1 禁止禁止 Mysql 以管理員帳號權(quán)限運(yùn)行以管理員帳號權(quán)限運(yùn)行安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱數(shù)據(jù)庫管理系統(tǒng) Mysql 遠(yuǎn)程登錄安全基線要求項(xiàng)安全基線編安全基線編號號SBL-Mysql-02-01-01 安全基線項(xiàng)安全基線項(xiàng)說明說明 以普通帳戶安全運(yùn)行 mysqld,禁止 mysql 以管理員帳號權(quán)限運(yùn)行。 檢測操作步檢測操作步驟驟1、參考配置操作、參考配置操作Unix 下可以通過在/etc/f 中設(shè)置:mysql.serveruser=mysql2、補(bǔ)充操作說明、補(bǔ)充操

4、作說明基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件、判定條件各種操作系統(tǒng)下以管理員權(quán)限運(yùn)行。Unix 下禁止以 root 帳號運(yùn)行 mysqld;2、檢測操作、檢測操作檢查進(jìn)程屬主和運(yùn)行參數(shù)是否包含-user=mysql 類似語句:# ps ef | grepmysqld#grep -i user /etc/f備注備注2.1.2 避免不同用戶間共享帳號避免不同用戶間共享帳號*安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱數(shù)據(jù)庫管理系統(tǒng) Mysql 用戶屬性控制策略安全基線要求項(xiàng)安全基線編安全基線編號號SBL-Mysql-02-01-02 安全基線項(xiàng)安全基線項(xiàng)說明說明 應(yīng)按照用戶分配帳號,避免不同用戶間共

5、享帳號檢測操作步檢測操作步驟驟1 1參考配置操作參考配置操作/創(chuàng)建用戶 mysql mysql insert into mysql.user(Host,User,Password,ssl_cipher,x509_issuer,x509_sub ject) values(localhost,pppadmin,password(passwd),); 這樣就創(chuàng)建了一個名為:phplamp 密碼為:1234 的用戶。 然后登錄一下。 mysqlexit; mysql -u phplamp -p 輸入密碼 mysql登錄成功 2 2補(bǔ)充操作說明補(bǔ)充操作說明基線符合性基線符合性判定依據(jù)判定依據(jù)1.1.判定

6、條件判定條件不用名稱的用戶可以連接數(shù)據(jù)庫2.2.檢測操作檢測操作使用不同用戶連接數(shù)據(jù)庫備注備注手工檢查2.1.3 刪除無關(guān)帳號刪除無關(guān)帳號*安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱數(shù)據(jù)庫管理系統(tǒng) Mysql 帳號管理安全基線要求項(xiàng)安全基線編安全基線編號號SBL-Mysql-02-01-03 安全基線項(xiàng)安全基線項(xiàng)說明說明 應(yīng)刪除或鎖定與數(shù)據(jù)庫運(yùn)行、維護(hù)等工作無關(guān)的帳號檢測操作步檢測操作步驟驟1 1參考配置操作參考配置操作DROP USER 語句用于刪除一個或多個 MySQL 賬戶。要使用 DROP USER,必須擁有 mysql 數(shù)據(jù)庫的全局 CREATE USER 權(quán)限或 DELETE 權(quán)限。賬戶名稱

7、的用戶和主機(jī)部分與用戶表記錄的 User 和 Host 列值相對應(yīng)。使用 DROP USER,您可以取消一個賬戶和其權(quán)限,操作如下:DROP USER user;該語句可以刪除來自所有授權(quán)表的帳戶權(quán)限記錄。2 2補(bǔ)充操作說明補(bǔ)充操作說明要點(diǎn):DROP USER 不能自動關(guān)閉任何打開的用戶對話。而且,如果用戶有打開的對話,此時取消用戶,則命令不會生效,直到用戶對話被關(guān)閉后才生效。一旦對話被關(guān)閉,用戶也被取消,此用戶再次試圖登錄時將會失敗?;€符合性基線符合性判定依據(jù)判定依據(jù)檢測操作:檢測操作:mysql 查看所有用戶的語句 輸入指令 select user();依次檢查所列出的賬戶是否為必要賬戶

8、,刪除無用戶或過期賬戶。注:無關(guān)的帳號主要指測試帳戶、共享帳號、長期不用帳號(半年以上不用)等備注備注手工檢查第第 3 章章口令口令3.1 口令安全口令安全3.1.1 不使用默認(rèn)密碼和弱密碼不使用默認(rèn)密碼和弱密碼安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱數(shù)據(jù)庫管理系統(tǒng) Mysql 賬戶口令安全基線要求項(xiàng)安全基線編安全基線編號號SBL-Mysql-03-01-01 安全基線項(xiàng)安全基線項(xiàng)說明說明 檢查帳戶默認(rèn)密碼和弱密碼, 口令長度至少8位,并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測操作步檢測操作步驟驟1 1參考配置操作參考配置操作

9、修改帳戶弱密碼如要修改密碼,執(zhí)行如下命令:mysql update user set password=password(test!p3) where user=root;mysql flush privileges;2 2補(bǔ)充操作說明補(bǔ)充操作說明基線符合性基線符合性判定依據(jù)判定依據(jù)1.1.判定條件判定條件密碼長度至少 8 位,并包括數(shù)字、小寫字母、大寫字母和特殊符號 4 類中至少 2 類。2.2.檢測操作檢測操作檢查本地密碼:(注意,管理帳號 root 默認(rèn)是空密碼)mysql use mysql;mysql select Host,User,Password,Select_priv,Gra

10、nt_priv from user;備注備注3.2 授權(quán)授權(quán)3.2.1 分配用戶最小權(quán)限分配用戶最小權(quán)限*安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱數(shù)據(jù)庫管理系統(tǒng) Mysql 權(quán)限分配策略安全基線要求項(xiàng)安全基線編安全基線編號號SBL-Mysql-03-02-01 安全基線項(xiàng)安全基線項(xiàng)說明說明 在數(shù)據(jù)庫權(quán)限配置能力內(nèi),根據(jù)用戶的業(yè)務(wù)需要,配置其所需的最小權(quán)限。檢測操作步檢測操作步驟驟1、 參考配置操作參考配置操作合理設(shè)置用戶權(quán)限,撤銷危險授權(quán)。 2、 補(bǔ)充操作說明補(bǔ)充操作說明基線符合性基線符合性判定依據(jù)判定依據(jù)1 判定條件判定條件確保數(shù)據(jù)庫沒有不必要的或危險的授權(quán)2 檢測操作檢測操作查看數(shù)據(jù)庫授權(quán)情況:m

11、ysql use mysql;mysql select * from user;mysqlselect * from db;mysqlselect * from host;mysqlselect * from tables_priv;mysqlselect * from columns_priv;回收不必要的或危險的授權(quán),可以執(zhí)行 revoke 命令:mysql help revokeName: REVOKEDescription:Syntax:REVOKEpriv_type (column_list) , priv_type (column_list) . ON object_type *

12、| *.* | db_name.* | db_name.tbl_name | tbl_name | db_name.routine_name FROM user , user .備注備注手工檢查第第 4 章章日志日志4.1 日志審計日志審計4.1.1 配置日志功能配置日志功能*安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱數(shù)據(jù)庫管理系統(tǒng) Mysql 配置日志功能安全基線要求項(xiàng)安全基線編安全基線編號號SBL-Mysql-04-01-01 安全基線項(xiàng)安全基線項(xiàng)說明說明 數(shù)據(jù)庫應(yīng)配置日志功能,檢測操作步檢測操作步驟驟mysql 有以下幾種日志: 錯誤日志: -log-err 查詢?nèi)罩荆?-log (可選) 慢查詢

13、日志: -log-slow-queries (可選) 更新日志: -log-update 二進(jìn)制日志: -log-bin 在 mysql 的安裝目錄下,打開 my.ini,在后面加上上面的參數(shù),保存后重啟mysql 服務(wù)就行了。 例如: #Enter a name for the binary log. Otherwise a default name will be used. #log-bin= #Enter a name for the query log file. Otherwise a default name will be used. #log= #Enter a name f

14、or the error log file. Otherwise a default name will be used. log-error= #Enter a name for the update log file. Otherwise a default name will be used. #log-update= 上面只開啟了錯誤日志,要開其他的日志就把前面的“#”去掉1、 補(bǔ)充操作說明show variables like log_%;查看所有的 log 命令 2、 show variables like log_bin;查看具體的 log 命令基線符合性基線符合性判定依據(jù)判定依

15、據(jù)1 判定條件判定條件啟用審核記錄對數(shù)據(jù)庫的操作,便于日后檢查。2 檢測操作檢測操作打開/etc/f 文件,查看是否包含如下設(shè)置:mysqldlog = filename備注備注手工檢查第第 5 章章其他其他5.1 其他配置其他配置5.1.1 安裝了最新的安全補(bǔ)丁安裝了最新的安全補(bǔ)丁*安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱數(shù)據(jù)庫管理系統(tǒng) Mysql 補(bǔ)丁安全基線要求項(xiàng)安全基線編安全基線編號號SBL-Mysql-05-01-01 安全基線項(xiàng)安全基線項(xiàng)說明說明 系統(tǒng)安裝了最新的安全補(bǔ)丁 (注:在保證業(yè)務(wù)及網(wǎng)絡(luò)安全的前提下,經(jīng)過兼容性測試后)檢測操作步檢測操作步驟驟1、 參考配置操作參考配置操作下載并安裝

16、最新 mysql 安全補(bǔ)丁,2、 補(bǔ)充操作說明補(bǔ)充操作說明安全警報和補(bǔ)丁下載網(wǎng)址是基線符合性基線符合性判定依據(jù)判定依據(jù)1 判定條件判定條件確保數(shù)據(jù)庫為企業(yè)版,并且安裝了最新安全補(bǔ)丁。如果是不安全的社區(qū)版,建議替換為企業(yè)版(收費(fèi))2 檢測操作檢測操作使用如下命令查看當(dāng)前補(bǔ)丁版本:mysql SELECT VERSION()備注備注根據(jù)應(yīng)用場景的不同,如部署場景需開啟此功能,則強(qiáng)制要求此項(xiàng)。5.1.2 如果不需要,應(yīng)禁止遠(yuǎn)程訪問如果不需要,應(yīng)禁止遠(yuǎn)程訪問*安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱數(shù)據(jù)庫管理系統(tǒng) Mysql 遠(yuǎn)程訪問安全基線要求項(xiàng)安全基線編安全基線編號號SBL-Mysql-05-01-02

17、安全基線項(xiàng)安全基線項(xiàng)說明說明 禁止網(wǎng)絡(luò)連接,防止猜解密碼攻擊,溢出攻擊和嗅探攻擊。 (僅限于應(yīng)用和數(shù)據(jù)庫在同一臺主機(jī)的情況)檢測操作步檢測操作步驟驟1、 參考配置操作參考配置操作如果數(shù)據(jù)庫不需遠(yuǎn)程訪問,可以禁止遠(yuǎn)程 tcp/ip 連接, 通過在 mysqld 服務(wù)器中參數(shù)中添加 -skip-networking 啟動參數(shù)來使 mysql 不監(jiān)聽任何 TCP/IP 連接,增加安全性。2、 補(bǔ)充操作說明補(bǔ)充操作說明基線符合性基線符合性判定依據(jù)判定依據(jù)1 判定條件判定條件遠(yuǎn)程無法連接2 檢測操作檢測操作#cat /etc/f#ps -ef|grep -i mysql或從客戶機(jī)遠(yuǎn)程 telnet my

18、sqlserver 3306備注備注根據(jù)應(yīng)用場景的不同,如部署場景需開啟此功能,則強(qiáng)制要求此項(xiàng)。5.1.3可信可信 IP 地址訪問控制地址訪問控制*安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱數(shù)據(jù)庫管理系統(tǒng) Mysql 訪問策略安全基線要求項(xiàng)安全基線編安全基線編號號SBL-Mysql-05-01-03 安全基線項(xiàng)安全基線項(xiàng)說明說明 通過數(shù)據(jù)庫所在操作系統(tǒng)或防火墻限制,只有信任的 IP 地址才能通過監(jiān)聽器訪問數(shù)據(jù)庫。檢測操作步檢測操作步驟驟1、 參考配置操作參考配置操作執(zhí)行命令:mysql GRANT ALL PRIVILEGES ON db.*- - TO 用戶名IP 子網(wǎng)/掩碼;只有通過指定 IP 地址段的用戶才可以登錄2、 補(bǔ)充操作說明基線符合性基線符合性判定依據(jù)判定依據(jù)1、判定條件、判定條件在非信任的客戶端以數(shù)據(jù)庫賬戶登陸被提示拒絕。2、檢測操作、檢測操作用戶從其它子網(wǎng)登錄,將被拒絕3、補(bǔ)充說明、補(bǔ)充說明備注備注手工檢查5.1.4連接數(shù)設(shè)置連接數(shù)設(shè)置安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱數(shù)據(jù)庫管理系統(tǒng) Mysql 連接數(shù)安全基線要求項(xiàng)安全基線編安全基線編號號SBL-Mysql-05-01-04 安全基線項(xiàng)安全基線項(xiàng)說明說明 根據(jù)機(jī)器性能和業(yè)務(wù)需求,設(shè)制最大

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論