MySQL數(shù)據(jù)庫安全基線(加固方法)

1、MySQL數(shù)據(jù)庫安全基線（加固方法）一、基本安全原則選擇穩(wěn)定版本并及時更新、打補丁嚴禁使用弱口令，定期更新口令嚴格的權(quán)限分配和訪問控制1、系統(tǒng)層面配置：系統(tǒng)安裝時，需要確認沒有其他戶登錄在服務(wù)器上。選擇穩(wěn)定的版本，并及時更新到最新版本、打補丁查看系統(tǒng)防火墻或網(wǎng)絡(luò)安全設(shè)備，是否有限制對MySQL數(shù)據(jù)庫的訪問不設(shè)置環(huán)境變量或確保MYSQL_PWD環(huán)境變量未設(shè)置敏感信息禁用MySQL命令歷史記錄陪現(xiàn)在&l.my&ql_nisto導(dǎo)丈件rmZ.mysql_history創(chuàng)建它的軟連按In-s/dev/nu_l.myscl-nistory如果有特蛀情況靂要打開,1詬殳置JWSQLHMTFILE即可:比如

2、exportMYSQL_HISTFILE/.mysql_history系統(tǒng)安裝時運行mysql_secure_installation執(zhí)行相關(guān)安全設(shè)置l_secure_instaJlation黃&丈f丁.幾-總豈：町為no毗用戶設(shè)貿(mào)密碼b）刪譙匿名賬號匚）取滔2口七用戶遠理楚錄d）地陪tes二匡朗對-es-l為i萬冋權(quán)限曰尿斷授權(quán)表使修改生敷2、服務(wù)器配置3306端口及服務(wù)不允許暴露到公網(wǎng)。如有特殊業(yè)務(wù)需求需對外網(wǎng)開放，必須經(jīng)云安全部審核通討后，才允許對外網(wǎng)開放。月服務(wù)器不應(yīng)該具備訪問外的能口（如有必要，可單向訪問）。新的服務(wù)器正式投使前，必須經(jīng)過安全加固。3、口戶和密碼配置使用專用的最小權(quán)限

3、賬號運行Mysql數(shù)據(jù)庫進程嚴禁使用弱口令，嚴禁共享賬號強密碼的設(shè)定，需要符合以下標(biāo)準(zhǔn)：毎八賬號必漬更設(shè)密碼弓密E馬干能印用戶名相同，：必選；不得出現(xiàn)用戶名亙興叫名刁肚司宕卜址選用尸密矜去世八餵化一討，迭；不能吏用當(dāng)臣白詞；磁迭不能哽托用匚和關(guān)信息：例扣1S.電話號碼竽等,可選至？由3種立筍組戊，包含字四.茫二將洙時號在內(nèi):可選使用validate_password.so插件，進行安全加固使用如下羽丄語句；SELECTuser,ho.i；FROMmyscl.userWHERE(5elect_priv=1Y)OR(lnsert_pri/=SELECTuser,hoszFROMnyscl.dbWH

4、EREdb=,niysql,AMD(5elect_priv=)OF確!呆返回結(jié)杲只韭杲數(shù)捱庫管理合理控制DML/DDL操作授權(quán)DM5DL語句包括創(chuàng)建或修改數(shù)據(jù)庫結(jié)枸的權(quán)卩雖例如:Lrirtiupd祇比血1祇氐create,droSELECTUEerHostDbFROMmysql,dbWHERE3elect_prtv=YORInsert_privVrOPUpdste_priv=VORDelate_privYORCreat_priv-OR?rop_Dr-iv=YORAllsr_priv=r;丄述查訶到的用戶只韮對埒走旳竝據(jù)莊乙頁相關(guān)恭權(quán)限，使.壬婦T命令逅行兀夫權(quán)限的亙収；REVOKESE_ECT

5、NFROMjREVOKEINSERTMhostdatsibNEEAFROM:REVOKEUPDATEONROM;REVOKEDELETESIdat日FROMusers:REVOKECREATEAMfRQMjREVOKEDROPON.aseFROM;REVOKEALER13NFROMcuser;其中user為查詢到的未授權(quán)的用戶,hast卜相關(guān)主機,databm強打相關(guān)數(shù)據(jù)庫權(quán)限說明:ijle_prlv：表示走石允F用戶讀丑頻據(jù)庫所在三嘰的本地文4；葉比旳“夷示是否的干用戶查詢所隹用匚的命今執(zhí)廳信急;5uper_priv；表小.壬戶罡否頁岌雖仝局變重、管理員調(diào)試竽高級別權(quán)恥Shutdown_pr

6、iv：気丁月尸是臺才、壬I旳數(shù)捉再：Creae_u5er_pr-iv:表不用戶是否可以，創(chuàng)建或刪總左也圧廠1：Gran7_priv；靑尸.主尸是二口“能西巨也主尸的樸用；歷史命令行密碼設(shè)置為不可見丄：九輸xmy.5ql-uadmin-p根據(jù)命令廳提示請入密碼;而不孌在整茅命令中輸人密碼。用外要控制-yq1配蠱文件訪冋權(quán)限刪除默認test數(shù)據(jù)庫，測試帳號，空密碼、匿名帳號埶掘目予是陽鬥1埶據(jù)陽有頂匠位彗，遼呼刊1命牛;丁界向卜如彳丁兀下總令:showvariableswherevariable_nane1=datadir;在終踹命令廳下執(zhí)行如下命令:Is-1如果存在冋題,-i叫貯宀境卜在終端執(zhí):

7、丁茁F命令進廳加固:chmoc700體僅劉5QL嫩據(jù)聲烯戶肓讀寫報爛chownmysq1:mysqldatadir)同料欄制b訂圍ir原砥,5dbaMIEI用戶可汩問控制錯誤日志文件的權(quán)限M.ysqlitTHl.rT:showvariables,likelogerror1;在裟端命令廳扣亍扣下命令:Is.*對于發(fā)現(xiàn)的圣一個文吋，頸行知T命令；_s-1#腿翳報由觀認日志艾佯険杖隔說畫是否存在問題、對于毎個日志文許，磴夜亙權(quán)限和嵐組扣下：cbmod660c-Qnriysq.1:mysql控制慢查詢?nèi)罩疚募臋?quán)限Mysql命令彳丁-f丈彳丁如卜命牛:showglobalvariableswherev

8、ariable_i3ms=&d7r_l心e_+i1乜在終錨執(zhí)廳如下命令:Is-1e矚林緡輸宙綿認旦志丈供的稅屜諼暨是査養(yǎng)在聞題對丁同亍二匚文-；修詼且權(quán)限和屬至婦下：chmod666rhownmysql:mysqlcaudit_log_-File4、審計和日志開啟審計功能showvariableslikepXpluginK;甫査看鮎會存裁過萱Variable_narie|Valueplugin_dir|/usr/lib64/my5ql/pLugin/plugin_maturityunknown注育:nyEql上的審計插件ibmudit_plugin.so需要里獨下載后安裝,maniadb自帶審計插件處i執(zhí)行安裝命令:installpluginserver_auditSONAP-Eerver_aLidiT.to;flushprivileges;陰改酉】蜀文牛；vim/etc/m/.cnfnysqld卩畫忝加server_audlt=FORCE_PLU5_PERMANEH7-萌It軍皆抿琶轅擲載server_audiT_logging=-ON-殲啟年計日志servcr_audiT_iaxcl_ugers-Fz不在審計蟲酌用戶server_audit_file_rotate_siz?=2ee0&30-審這E志玄佯輪巻段制丈