MySQL數(shù)據(jù)庫安全基線加固方法

MySQL數(shù)據(jù)庫安全基線（加固方法）一、基本安全原則?選擇穩(wěn)定版本并及時更新、打補丁?嚴(yán)禁使用弱口令，定期更新口令?嚴(yán)格的權(quán)限分配和訪問控制具體安全配置1、系統(tǒng)層面配置：系統(tǒng)安裝時，需要確認沒有其他口戶登錄在服務(wù)器上。選擇穩(wěn)定的版本，并及時更新到最新版本、打補丁查看系統(tǒng)防火墻或網(wǎng)絡(luò)安全設(shè)備，是否有限制對MySQL數(shù)據(jù)庫的訪問不設(shè)置環(huán)境變量或確保MYSQL_PWD環(huán)境變量未設(shè)置敏感信息禁用MySQL命令歷史記錄冊噲現(xiàn)在加，my￡q1_1i弓七口r■X文件rm-mysql_history創(chuàng)建它的軟連接In-s/dev/nu_l.myscl-nistory如果有特殊情況需要打開,重新肩置鵬QLJHGTF工LE即可：比如exportMYSQL_HISTFILE.mysql_history系統(tǒng)安裝時運行mysql_secure_installation執(zhí)行相關(guān)安全設(shè)置

運行已匚口|'日_1|151:日11/1:10（1會執(zhí)彳亍幾個設(shè)置：日）為go二用戶設(shè)置密碼6刪馀匿名賬號G取澗「口口t用戶遠程登錄d）刪除&t伍卻對二屋t庫的訪問超限門吊慚授權(quán)表使修改生效2、服務(wù)器配置3306端口及服務(wù)不允許暴露到公網(wǎng)。如有特殊業(yè)務(wù)需求需對外網(wǎng)開放，必須經(jīng)云安全部審核通討后，才允許對外網(wǎng)開放。服務(wù)器不應(yīng)該具備訪問外□的能口（如有必要，可單向訪問）。新的服務(wù)器正式投□使□前，必須經(jīng)過安全加固。3、□戶和密碼配置使用專用的最小權(quán)限賬號運行Mysql數(shù)據(jù)庫進程嚴(yán)禁使用弱口令，嚴(yán)禁共享賬號強密碼的設(shè)定，需要符合以下標(biāo)準(zhǔn)：每八服號心殞要設(shè)密晶弓密碼可能力用戶.名相同3:必選；不得出現(xiàn)用戶名?.亙買姓名為公司石稱3￡必選:用尸箔徜長層八能低一己位；；必選二不差■■更用常用白詞.：（尼訖'不能使用用亡利美信息：例如上日.電話號的等等；（可選）至少■由3■種士符組成，包含字母，史特殊符號在內(nèi)1:《可選）使用validate_password.so插件，進行安全加固

安裝插件:f胤認安裝了插件后,強蜘件就啟用了，關(guān)閉,需要在明置文件假如相關(guān)關(guān)閉參數(shù))mysql>INSTALLPLUG工HvalidatepasswordSONAME'vjlidatepasfwcjrd.so1;配置文件潘加部分變勃：[mysqld]p1ugin-load=validlate_pa5sword,sovalidate_pa5sword_|policy=2validate-password=FORCE_PLUS_PERMANENT3.以上處理后j就可以測試了:mysql>SET^ASSWO^D-PA&SkORDf1abc'};error_E19(HY600):YourpasEMorddoesnotsatisfythecurrentpolicyrequir：nysqL>SETPASSWORD-'*0D3CED9GEC19A777AEC23CCC35^A9C@aA6330^EE';QueryOK.3rawsaf-fected(0.91sec)和關(guān)選巾說明：Yalim-pmswurdMlVOFFjFCIlCE/FORCE_PLl^—PEHIWJEirr：；丸定罡否使用該插件(及強制上vali53t&_pasiword_dictionary_flie：拉件用于臉證皆狎強.夏的宇陽文■件路運.validate_passwordl_l￡ngth：定t馬最，卜長層。validate_passwordl_mixed_casc_cciunt：百？1至少要包含的小馬字母個數(shù)和大寫N母人地“validate_password_nuiiber_coiint：密碼至少要包含的額字個始。validat?_psssword_policy；密碼強度檢查等級,6/LOW.1/MEDIUM,2/51RONGova1idate_paasword_specia1_char_count：密碼至少要包含的特殊字符豹0其中,關(guān)于甘日:idatjp日”wcird_"].icy-密碼強度嗡直等軀；07LOW：只嗡查長度,“MEDIUM；檢查長度、數(shù)字i大小與特殊字符。2K-R0HG：檜全長黑、國字..充小與..壯妹字符字曲文件、用戶密碼過期時間小于等于90天配一文件中文件[mysqld]default_pas5woird_lifet^6=90重命名root賬號usemysq]updateusersetubep-.新的用戶名“whereuser-,'r{>ot,,jselectuser'Jhostpasswordfronmysql.user;翦查看結(jié)果控制最高權(quán)限只有管理員

使用如下5qJ■語句；SELECTuse廣,ho.i；FROMmyscl.userwhere(5elect_priv=1Y')OR(lnsert_pri'/=SELECTuser,hoszFROM[nyscl.dbWHEREdb=,niysql,AMD((5elect_priv='￥')OF確保返回桔鳧只靛是數(shù)保庫管理員賬號.合理控制DML/DDL操作授權(quán)DML/DUL語句包恬創(chuàng)建或修改數(shù)據(jù)庫據(jù)構(gòu)的權(quán)限1例如1口蹉”\update,delete,create,droselectuserjHost^Dbfrommysql.dbwhereselect_prilv=,Y'ORInsert_priv-'VrOPUpd=te_priv^'V1ORDelate_priiv^'Y'ORCr&at^_prLV=F'OR□rop_Dr-iv=,￥'ORAller_priv=;_L述直同到的用戶只莖對埼定的鉆據(jù)庫不育相關(guān)主枳限，使用如「命金在行走關(guān)根眼的亙收；REVOKESE_ECTQH<host>.<database>「ROM<user>;REVOKEINSERTOM<host>.<database>FROM<ussr>:REVOKEUPDATEQH<host>.<database>FROM<user>;REVOKEDE_tTt{Jri<host>.<database>I-ROM<ussr>:REVOKECREATEQH<host>.<databa5e>FROM<user>;REVOKEDROPON<ho5t>.<datat>ase>二ROM<user>;REVOKEAL-ERON<host>.<databasO-ROM<user>;其中<U5￡「>為查旬到的未授權(quán)的用戶,hcst為相關(guān)主機,datag會為相關(guān)避據(jù)庫。權(quán)限說明:-file_prlv：表不.是百介I-用戶讀期數(shù)理庫所在三磯們本見文件三Pea”：表示:是否尢訐用尸查詢所有用廣的命令執(zhí)行信急;5uper_pri.v:表■示王廣是在育設(shè)置主局受至、管理員調(diào)試等高級另］根跟$Shutdown_pniv：泉于白尸是占可工美I才］構(gòu)施盛：Create_u5er_priv;表示用戶是否可以，創(chuàng)建或則「汆E也用「孑Grant_priv：表不.主尸是否可口修改耳他.主尸的和I由歷史命令行密碼設(shè)置為不可見(1：先輸入叫叫］-uadmin-p一〕根據(jù)品令行提示輸入密碼:而不要百一整條命令中輸入密g。吊外要控用1叫叫1酉贈文件訪問權(quán)限刪除默認test數(shù)據(jù)庫，測試帳號，空密碼、匿名帳號

ba5lidropCdtubdstifexistsS{dbname);2手鬻除冗余密蠢漏,Me5tt>a5hdropuser1'4矛演除無用陽戶t潰茗用戶第陋用戶》select.iser,Iios?,fromnysqlrjser6轉(zhuǎn)技熱漆能今查誨是杳賽在空好號?禁止root遠程登錄usemysql;2弁的所頸號，的裁■漏庫儂走時y5QL旨杵的一個州提庠，里面祎或萼一些vgt的圖置信息3；upd2t9uierðo^t="localhcst"wherejser="root"andhost="K11;拜篋的pat用戶的hmst屬性,翁承賓為￡osLAc>5七，這表示兄能率他訪梃域蒙京對發(fā)運程訪板》flushprivileges;H氟森?關(guān)閉Old_Passwordsnysql>showvariableslikefKpas5WDrdKJ；TOC\o"1-5"\h\z■4 + 4-Variable_name|Value|-t +—十Iold_passNords|OFF|〈朝就這里表喝己統(tǒng)關(guān)閉了用密礙選雙 H +■1rowin83-{330sec)?secure_auth選項設(shè)置如先有門端采用。Ld_pa55M0「d5發(fā)起這接清末：如吳服,圣端式置了secure_autl^汕客廣端會拒:?確保所有用戶都要求使用非空密碼登錄工廠加I，詰可查伺是臺可月二人需要定錯不可登錄：selectuserjliostfromritysql.userh'FERE(plLgiiIN('m/sqlnati'/e|,assword'j'h3、文件權(quán)限配置

禁止MySQL對本地文件存取在W5QL中，提伊對本地文件的讀取，使用的是loaddatalocalinfile命令,熟認在59版本中咕各J法_ess/etc/my.cn-f?查5y與q"：部分是否存在ocal-infil^=0o或者15-auk查看啟動ny與ql進程是有］■《匚日1-infile=Q控制二進制日志文件的權(quán)限mgq：l的運行會產(chǎn)生很多日志,例如二進制日志、錯誤日志、慢查詢?nèi)罩镜鹊?一■1命令行下執(zhí)「showva^i^bles_ike"log_bin_tasenarre';Lin”在終端而與行扭仃短卜命令：<Jog_blirbasenanie>.運于發(fā)現(xiàn)的每一人文件，執(zhí)行為下令令：Is-J<log_bin_basename>10#罐雅胡出嫌認目志文件的投限該宜整膂我汪間越.君十恁個二志文件，修石其札限制屬主婦「：chnod660<logfile>chownmysql:mysqlclogfile>控制datadir、basedir的訪問權(quán)限

知據(jù)口星是叮凹1型據(jù)目存瑯的位置，在叩31命宇了界面「次仃加卜命令:showvariableswherevariable_nane='datadir'1;在終端命令行下執(zhí)行如,命多Is-1tdatadlr>如果存在問題,---一困境I■在終湍扭:丁婦F一號進行加固:chmoc700<datadir>時僅出0QL墩播庫將戶有讀寫權(quán)限chownmysq1:mysql<datadir)日理檸制必寫久什內(nèi)樂，WDB哥口物舊隹用戶可怕同?控制錯誤日志文件的權(quán)限珈5磯命令行下執(zhí)行如下命笠:showvariableis.like"log_errorp;在終端命為行亂吁現(xiàn)下令臺:Is<.lo￡_error>,*對于發(fā)現(xiàn)的近一個文什，次行殂T的公；_s-1<log_error>#根裾輸出畿決日志妄件熊孩墨骸置是色嘉在海鑫、對于每個日古文件，啜百三權(quán)限和屬組如下：chmod660<logfilochn^nriysql：mysql<log+1le>?控制慢查詢?nèi)罩疚募臋?quán)限

My叫1命令行下執(zhí)行如下命令；showvariableslike"s1dw_query_log_fi1e在終端命專行執(zhí)行如下命爭:As<slow_query_Log_-file>.*對于發(fā)現(xiàn)的每一個■文件,執(zhí)行如下命令：15-1cs1ow_query_1og_fi1e>根據(jù)輸出確認三志立件的權(quán)限設(shè)置是否存在問題.對于每個日志文能修改耳板限和屬組面IT：chmod&60<logfile>chownmysql：Mysql<logfile>控制通用日志文件的權(quán)限My"二命令行下現(xiàn)行如下金2；showvariableslike'gener'al_lcg_fILe'?在獎端完好行拉i二犯下命令：Is<genera)_Log_fil.e：,對于發(fā)現(xiàn)的每一個文件」執(zhí)行如下命令:Is-1<general_log_file>界福鑫輸出螭札目志文譽的權(quán)波亶是否有在悶趣.對于每個日志又仃；修改其不限和屬拒如下：chinodeea<logfile>chownmysql:mysql<Log4:ile>控制審計日志文件的權(quán)限Mysql命令行，執(zhí)彳丁如下命苦:showglobalvariableswherevariable_T3ms= 'a.jdii1e1;在終端執(zhí)行如下命號:Is-二<audi-t_lag_fil'e>8”蔣踞轍出^認R志立件蚪板隈發(fā)置是否有在同題'對丁每個二二文件;修"攵且板「艮和屬蛆如T：chmod666<aiidit_log_file>rhownmysql:mysqlcaudit_log_-file>4、審計和日志開啟審計功能TOC\o"1-5"\h\zshouvariableslike'XpluginX