安全加固
禁止MySQL以管理员的身份账号权限运行
#用普通账户运行mysqld#加固方法:
my.cnf配置文件中配置user=mysql
是否存在密码为空的用户
#1、sql_mode启用 NO_CREATE_AUTO_USER,这个参数(NO_CREATE_AUTO_USER)禁止自动创建密码为空的用户
show variables like '%sql_mode%';#2、系统表查询
select Host,user,authentication_string from mysql.user
where LENGTH(authentication_string)<=0or authentication_string is null;#若存在空密码的数据库用户,则执行如下命令设置数据库用户密码,且密码必须满足密码策略的要求:
set password for 'user'@'host' = password('yourpassword');
set password for 'testtest'@'192.168.56.1' = password('testtest');
检查数据库用户的密码是否为弱口令
有些人为了方便,可能会把数据库用户的密码设置为弱口令,现在的数据库会以mysql5加密算法加密口令,可以去MD5解密的平台输入密文,看能否得出明文。
https://www.cmd5.com/
https://www.somd5.com/
密码过期时间(密码有效期)
SET GLOBAL default_password_lifetime = 180;select user from mysql.user where password_lifetime is null;
alter user '用户名'@'%' password expire interval 90 day;
密码复杂度配置(validate-password插件)
安装插件
INSTALL PLUGIN validate_password SONAME 'validate_password.so';
相关参数
[mysqld]
plugin-load = "validate_password.so"
validate-password = FORCE_PLUS_PERMANENT
validate_password_length = 8
validate_password_policy = 1
validate_password_mixed_case_count = 1
validate_password_number_count = 1
validate_password_special_char_count = 1
validate-password 值为FORCE_PLUS_PERMANENT 表示强制启用该插件,并且不能被卸载。
validate_password_policy 表示密码策略,有三个值,与其对应的策略见下表:
| 值 | 密码策略 |
|---|---|
| 0 或 LOW | 校验密码长度变量 |
| 1 或 MEDIUM | 校验密码长度、数字、小写/大写和特殊字符4个变量 |
| 2 或 STRONG | 校验密码长度、数字、小写/大写、特殊字符和字典文件5个变量 |
简言之,对于密码数字、小写/大写和特殊字符这三个变量,只有当密码策略为中或强时才是有效的。
那么最低要求配置如下
效果:密码不能与用户名一致,密码长度8位以上(包含8位)、至少有一个数字、一个大写字母、一个小写字母、一个特殊字符。
mysql> show variables like '%validate_password%';
+--------------------------------------+--------+
| Variable_name | Value |
+--------------------------------------+--------+
| validate_password_check_user_name | OFF |
| validate_password_dictionary_file | |
| validate_password_length | 8 |
| validate_password_mixed_case_count | 1 |
| validate_password_number_count | 1 |
| validate_password_policy | MEDIUM |
| validate_password_special_char_count | 1 |
+--------------------------------------+--------+
7 rows in set (0.00 sec)
登录失败和连接超时设置(connection_control插件)
mysql有个连接超时的插件,相当于登录失败锁定策略,可根据业务需要进行最低配置。
默认配置如下:
mysql> show variables like "%connection_control%";
+-------------------------------------------------+-------+
| Variable_name | Value |
+-------------------------------------------------+-------+
| connection_control_failed_connections_threshold | 3 |
| connection_control_max_connection_delay | 86400 |
| connection_control_min_connection_delay | 1000 |
+-------------------------------------------------+-------+
3 rows in set (0.00 sec)
connection_control_failed_connections_threshold
失败尝试的次数,默认为3,表示当连接失败3次后启用连接控制0表示不开启
connection_control_max_connection_delay
响应延迟的最大时间
connection_control_min_connection_delay
响应延迟的最小时间,默认1000微秒,1秒
然后是超时时间设置。
查看和设置 连接超时相关的两个参数interactive_timeout和wait_timeout,其值应当至多为30分钟。
show global variables like 'interactive_timeout';
show global variables like 'wait_timeout'; set global interactive_timeout=1800;
set global wait_timeout=1800;
interactive_timeout:交互式连接超时时间(mysql工具、mysqldump等)
wait_timeout:非交互式连接超时时间、默认的连接mysql api程序、jdbc连接数据库等
简单来说,通过mysql客户端连接数据库是交互式连接,通过jdbc连接数据库是非交互式连接。
启用ssl
mysql> show variables like '%ssl';
+---------------+----------+
| Variable_name | Value |
+---------------+----------+
| have_openssl | DISABLED |
| have_ssl | DISABLED |
+---------------+----------+
2 rows in set (0.01 sec)
远程管理限制
远程连接管理配置方法:
GRANT ALL PRIVILEGES ON <databases-name>.* TO 'user'@'<ip>' IDENTIFIED BY '<password>' WITH GRANT OPTION;
FLUSH PRIVILEGES;-- 举例,给数据库用户teacher分配student数据库,只允许192.168.56.%网段远程连接并设置口令为Admin123。
GRANT ALL PRIVILEGES ON student.* TO 'teacher'@'192.168.56.%' IDENTIFIED BY 'Admin123' WITH GRANT OPTION;
FLUSH PRIVILEGES;
会话连接数配置
mysql> show variables like "%connections";
+----------------------+-------+
| Variable_name | Value |
+----------------------+-------+
| max_connections | 100 |
| max_user_connections | 0 |
+----------------------+-------+
2 rows in set (0.01 sec)
max_connections是对整个服务器的用户做出限制,
max_user_connections是对每个用户的限制,
为0表示不限制。
启用日志审计
mysql默认启用日志审计,记录的内容也符合相关安全要求,此项默认符合。
查看日志启用情况
查看变量,看相关日志是否启用show variables like ‘log%’;
或看mysql的配置文件,看相关日志的配置情况(根据业务需要启用相关日志和设置日志保存路径。)
# * Logging and Replication
#
# Both location gets rotated by the cronjob.
# Be aware that this log type is a performance killer.
# As of 5.1 you can enable the log at runtime!
#通用日志,将所有到达MySQL Server的SQL语句记录下来
general_log_file = var/log/mysql/mysql.log
general_log = 1
log_timestamps = SYSTEM
#
# Error log - should be very few entries.
#错误日志,文件内容不会很多
log_error = var/log/mysql/error.log
#
# Here you can see queries with especially long duration
#慢查询日志,记录SQL执行语句(执行时间超过2秒才会记录)
slow_query_log = 1
slow_query_log_file = var/log/mysql/mysql-slow.log
long_query_time = 2
log-queries-not-using-indexes
#
# The following can be used as easy to replay backup logs or for replication.
# note: if you are setting up a replication slave, see README.Debian about
# other settings you may need to change.
#二进制日志
server-id = 1
log_bin = var/log/mysql/mysql-bin.log
expire_logs_days = 10
max_binlog_size = 100M
#binlog_do_db = include_database_name
#binlog_ignore_db = include_database_name
来看一下日志内容,日志默认是分天存储的,一天一个文件并压缩保存。
- 相关日志(主要是查询日志和错误日志)应留存6个月以上。
- 日志记录的日期和时间应当是正确的,服务器需开启了NTP服务进行时间校对。
#Linux 检查NTP服务时间同步情况
ntpq -p -n
ntpstat
禁止mysql对系统文件进行读写操作
local_infile变量表示能否使用load data local infile命令。该变量默认为ON。该变量为OFF时,禁用客户端使用load data local infile命令。避免通过数据库查询语句造成的任意文件读写漏洞。
执行如下SQL语句:
show variables like 'local_infile';-- 在/etc/my.cnf配置文件中修改
[mysqld]
local_infile = 0
用户权限合理分配
执行下面语句,查看各账户和权限分配情况。请根据业务需求进行合理的权限分配,应遵循三权分立原则(分为系统管理员、安全管理员、安全审计员等,并检查系统各用户所属的权限组。如:系统管理员不能进行业务操作、审计操作审计员不能进行业务操作、系统管理操作安全员不能进行添加账号操作等)
select user,host,account_locked from mysql.user;
show grants for 'user'@'host';
select * from mysql.user where user='user' and host='host' \G;
说明:
- 不能存在特权用户
- 不存在越权访问情况(绕过访问控制策略)
- mysql 数据库应当只允许root用户进行访问和管理
其他
- 最小权限原则
- 对于数据库,可以一个数据库用户分配一个数据库
- 对于mysql进程,不得以root用户运行,默认是采用了mysql用户运行。
- 更改默认开放端口3306
- 站库分离
参考资料
MySQL 用户安全加固策略
https://www.modb.pro/db/1749249761291096064
https://www.modb.pro/db/583239
深入理解逃逸分析Escape Analysis)
下报“语法错误缺少“}““语法错误缺少“常数“ 的解决办法)
