MySql數(shù)據(jù)庫安全配置基線

Mysql數(shù)據(jù)庫系統(tǒng)安全配置基線

版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。

目錄第1章 概述 41.1 目的 41.2 適用范圍 41.3 適用版本 41.4 實(shí)施 41.5 例外條款 4第2章 帳號(hào) 52.1 帳號(hào)安全 5 禁止Mysql以管理員帳號(hào)權(quán)限運(yùn)行 5 避免不同用戶間共享帳號(hào)* 5 刪除無關(guān)帳號(hào)* 6第3章 口令 83.1 口令安全 8 不使用默認(rèn)密碼和弱密碼 83.2 授權(quán) 8 分配用戶最小權(quán)限* 8第4章 日志 104.1 日志審計(jì) 10 配置日志功能* 10第5章 其他 125.1 其他配置 12 安裝了最新的安全補(bǔ)丁* 12 如果不需要，應(yīng)禁止遠(yuǎn)程訪問* 12 可信IP地址訪問控制* 13 連接數(shù)設(shè)置 14第6章 評(píng)審與修訂 15

概述目的本文檔旨在指導(dǎo)數(shù)據(jù)庫管理人員進(jìn)行Mysql數(shù)據(jù)庫系統(tǒng)的安全配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：數(shù)據(jù)庫管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。適用版本Mysql數(shù)據(jù)庫系統(tǒng)。實(shí)施例外條款

帳號(hào)帳號(hào)安全禁止Mysql以管理員帳號(hào)權(quán)限運(yùn)行安全基線項(xiàng)目名稱數(shù)據(jù)庫管理系統(tǒng)Mysql遠(yuǎn)程登錄安全基線要求項(xiàng)安全基線編號(hào)SBL-Mysql-02-01-01安全基線項(xiàng)說明以普通帳戶安全運(yùn)行mysqld，禁止mysql以管理員帳號(hào)權(quán)限運(yùn)行。檢測(cè)操作步驟1、參考配置操作Unix下可以通過在/etc/f中設(shè)置：[mysql.server]user=mysql2、補(bǔ)充操作說明基線符合性判定依據(jù)1、判定條件各種操作系統(tǒng)下以管理員權(quán)限運(yùn)行。Unix下禁止以root帳號(hào)運(yùn)行mysqld;2、檢測(cè)操作檢查進(jìn)程屬主和運(yùn)行參數(shù)是否包含--user=mysql類似語句：#ps–ef|grepmysqld#grep-iuser/etc/f備注避免不同用戶間共享帳號(hào)*安全基線項(xiàng)目名稱數(shù)據(jù)庫管理系統(tǒng)Mysql用戶屬性控制策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Mysql-02-01-02安全基線項(xiàng)說明應(yīng)按照用戶分配帳號(hào)，避免不同用戶間共享帳號(hào)檢測(cè)操作步驟1．參考配置操作//創(chuàng)建用戶mysql>mysql>insertintomysql.user(Host,User,Password,ssl_cipher,x509_issuer,x509_subject)values("localhost","pppadmin",password("passwd"),'','','');這樣就創(chuàng)建了一個(gè)名為：phplamp密碼為：1234的用戶。然后登錄一下。mysql>exit;@>mysql-uphplamp-p@>輸入密碼mysql>登錄成功2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件不用名稱的用戶可以連接數(shù)據(jù)庫2.檢測(cè)操作使用不同用戶連接數(shù)據(jù)庫備注手工檢查刪除無關(guān)帳號(hào)*安全基線項(xiàng)目名稱數(shù)據(jù)庫管理系統(tǒng)Mysql帳號(hào)管理安全基線要求項(xiàng)安全基線編號(hào)SBL-Mysql-02-01-03安全基線項(xiàng)說明應(yīng)刪除或鎖定與數(shù)據(jù)庫運(yùn)行、維護(hù)等工作無關(guān)的帳號(hào)檢測(cè)操作步驟1．參考配置操作DROPUSER語句用于刪除一個(gè)或多個(gè)MySQL賬戶。要使用DROPUSER，必須擁有mysql數(shù)據(jù)庫的全局CREATEUSER權(quán)限或DELETE權(quán)限。賬戶名稱的用戶和主機(jī)部分與用戶表記錄的User和Host列值相對(duì)應(yīng)。使用DROPUSER，您可以取消一個(gè)賬戶和其權(quán)限，操作如下：DROPUSERuser;該語句可以刪除來自所有授權(quán)表的帳戶權(quán)限記錄。2．補(bǔ)充操作說明要點(diǎn)：DROPUSER不能自動(dòng)關(guān)閉任何打開的用戶對(duì)話。而且，如果用戶有打開的對(duì)話，此時(shí)取消用戶，則命令不會(huì)生效，直到用戶對(duì)話被關(guān)閉后才生效。一旦對(duì)話被關(guān)閉，用戶也被取消，此用戶再次試圖登錄時(shí)將會(huì)失敗?；€符合性判定依據(jù)檢測(cè)操作：mysql查看所有用戶的語句輸入指令selectuser();依次檢查所列出的賬戶是否為必要賬戶，刪除無用戶或過期賬戶。注：無關(guān)的帳號(hào)主要指測(cè)試帳戶、共享帳號(hào)、長(zhǎng)期不用帳號(hào)（半年以上不用）等備注手工檢查

口令口令安全不使用默認(rèn)密碼和弱密碼安全基線項(xiàng)目名稱數(shù)據(jù)庫管理系統(tǒng)Mysql賬戶口令安全基線要求項(xiàng)安全基線編號(hào)SBL-Mysql-03-01-01安全基線項(xiàng)說明檢查帳戶默認(rèn)密碼和弱密碼,口令長(zhǎng)度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測(cè)操作步驟1．參考配置操作修改帳戶弱密碼如要修改密碼，執(zhí)行如下命令：mysql>updateusersetpassword=password('test!p3')whereuser='root';mysql>flushprivileges;2．補(bǔ)充操作說明基線符合性判定依據(jù)1.判定條件密碼長(zhǎng)度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少2類。2.檢測(cè)操作檢查本地密碼：(注意，管理帳號(hào)root默認(rèn)是空密碼)mysql>usemysql;mysql>selectHost,User,Password,Select_priv,Grant_privfromuser;備注授權(quán)分配用戶最小權(quán)限*安全基線項(xiàng)目名稱數(shù)據(jù)庫管理系統(tǒng)Mysql權(quán)限分配策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Mysql-03-02-01安全基線項(xiàng)說明在數(shù)據(jù)庫權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。檢測(cè)操作步驟參考配置操作合理設(shè)置用戶權(quán)限，撤銷危險(xiǎn)授權(quán)。補(bǔ)充操作說明基線符合性判定依據(jù)1判定條件確保數(shù)據(jù)庫沒有不必要的或危險(xiǎn)的授權(quán)2檢測(cè)操作查看數(shù)據(jù)庫授權(quán)情況：mysql>usemysql;mysql>select*fromuser;mysql>select*fromdb;mysql>select*fromhost;mysql>select*fromtables_priv;mysql>select*fromcolumns_priv;回收不必要的或危險(xiǎn)的授權(quán)，可以執(zhí)行revoke命令：mysql>helprevokeName:'REVOKE'Description:Syntax:REVOKEpriv_type[(column_list)][,priv_type[(column_list)]]...ON[object_type]{*|*.*|db_name.*|db_name.tbl_name|tbl_name|db_name.routine_name}FROMuser[,user]...備注手工檢查

日志日志審計(jì)配置日志功能*安全基線項(xiàng)目名稱數(shù)據(jù)庫管理系統(tǒng)Mysql配置日志功能安全基線要求項(xiàng)安全基線編號(hào)SBL-Mysql-04-01-01安全基線項(xiàng)說明數(shù)據(jù)庫應(yīng)配置日志功能，檢測(cè)操作步驟mysql有以下幾種日志：錯(cuò)誤日志：-log-err查詢?nèi)罩荆?log（可選）慢查詢?nèi)罩?-log-slow-queries（可選）更新日志:-log-update二進(jìn)制日志：-log-bin在mysql的安裝目錄下，打開my.ini,在后面加上上面的參數(shù)，保存后重啟mysql服務(wù)就行了。例如：#Enteranameforthebinarylog.Otherwiseadefaultnamewillbeused.#log-bin=#Enteranameforthequerylogfile.Otherwiseadefaultnamewillbeused.#log=#Enteranamefortheerrorlogfile.Otherwiseadefaultnamewillbeused.log-error=#Enteranamefortheupdatelogfile.Otherwiseadefaultnamewillbeused.#log-update=上面只開啟了錯(cuò)誤日志，要開其他的日志就把前面的“#”去掉補(bǔ)充操作說明showvariableslike'log_%';查看所有的log命令showvariableslike'log_bin';查看具體的log命令基線符合性判定依據(jù)1判定條件啟用審核記錄對(duì)數(shù)據(jù)庫的操作，便于日后檢查。2檢測(cè)操作打開/etc/f文件，查看是否包含如下設(shè)置：[mysqld]log=filename備注手工檢查

其他其他配置安裝了最新的安全補(bǔ)丁*安全基線項(xiàng)目名稱數(shù)據(jù)庫管理系統(tǒng)Mysql補(bǔ)丁安全基線要求項(xiàng)安全基線編號(hào)SBL-Mysql-05-01-01安全基線項(xiàng)說明系統(tǒng)安裝了最新的安全補(bǔ)丁（注：在保證業(yè)務(wù)及網(wǎng)絡(luò)安全的前提下，經(jīng)過兼容性測(cè)試后）檢測(cè)操作步驟參考配置操作下載并安裝最新mysql安全補(bǔ)丁，補(bǔ)充操作說明安全警報(bào)和補(bǔ)丁下載網(wǎng)址是基線符合性判定依據(jù)1判定條件確保數(shù)據(jù)庫為企業(yè)版，并且安裝了最新安全補(bǔ)丁。如果是不安全的社區(qū)版，建議替換為企業(yè)版(收費(fèi))2檢測(cè)操作使用如下命令查看當(dāng)前補(bǔ)丁版本：mysql>SELECTVERSION()備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開啟此功能，則強(qiáng)制要求此項(xiàng)。如果不需要，應(yīng)禁止遠(yuǎn)程訪問*安全基線項(xiàng)目名稱數(shù)據(jù)庫管理系統(tǒng)Mysql遠(yuǎn)程訪問安全基線要求項(xiàng)安全基線編號(hào)SBL-Mysql-05-01-02安全基線項(xiàng)說明禁止網(wǎng)絡(luò)連接，防止猜解密碼攻擊，溢出攻擊和嗅探攻擊。（僅限于應(yīng)用和數(shù)據(jù)庫在同一臺(tái)主機(jī)的情況）檢測(cè)操作步驟參考配置操作如果數(shù)據(jù)庫不需遠(yuǎn)程訪問，可以禁止遠(yuǎn)程tcp/ip連接,通過在mysqld服務(wù)器中參數(shù)中添加--skip-networking啟動(dòng)參數(shù)來使mysql不監(jiān)聽任何TCP/IP連接，增加安全性。補(bǔ)充操作說明基線符合性判定依據(jù)1判定條件遠(yuǎn)程無法連接2檢測(cè)操作#cat/etc/f#ps-ef|grep-imysql或從客戶機(jī)遠(yuǎn)程telnetmysqlserver3306備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開啟此功能，則強(qiáng)制要求此項(xiàng)?？尚臝P地址訪問控制*安全基線項(xiàng)目名稱數(shù)據(jù)庫管理系統(tǒng)Mysql訪問策略安全基線要求項(xiàng)安全基線編號(hào)SBL-Mysql-05-01-03安全基線項(xiàng)說明通過數(shù)據(jù)庫所在操作系統(tǒng)或防火墻限制，只有信任的IP地址才能通過監(jiān)聽器訪問數(shù)據(jù)庫。檢測(cè)操作步驟參考配置操作執(zhí)行命令：mysql>GRANTALLPRIVILEGESONdb.*·->->TO用戶名@'IP子網(wǎng)/掩碼';只有通過指定IP地址段的用戶才可以登錄補(bǔ)充操作說明基線符合性判定依據(jù)1、判定條件在非信任的客戶端以數(shù)據(jù)庫賬戶登陸被提示拒絕。2、檢測(cè)操作用戶從其它子網(wǎng)登錄，將被拒絕3、補(bǔ)充說明備注手工檢查連接數(shù)設(shè)置安全基線項(xiàng)目名稱數(shù)據(jù)庫管理系統(tǒng)Mysql連接數(shù)安全基線要求項(xiàng)安全基線編號(hào)SBL-Mysql-05-01-04安全基線項(xiàng)說明根據(jù)機(jī)