该【MySql数据库安全配置基线 】是由【我是开始】上传分享,文档一共【15】页,该文档可以免费在线阅读,需要了解更多关于【MySql数据库安全配置基线 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。:.
Mysql数据库系统安全配置基线
:.
版本版本控制信息更新日期更新人审批人
备注:
,请创建人填写版本控制表格,否则删除版本控制表格。
:.
目录
第1章概述.........................................................................................................................................3
.........................................................................................................................................3
.................................................................................................................................3
.................................................................................................................................3
.........................................................................................................................................3
.................................................................................................................................3
第2章帐号.........................................................................................................................................4
.................................................................................................................................4
...............................................................4
*.............................................................................4
*.................................................................................................5
第3章口令.........................................................................................................................................7
.................................................................................................................................7
...............................................................................7
.........................................................................................................................................7
*.........................................................................................7
第4章日志.........................................................................................................................................9
.................................................................................................................................9
*.................................................................................................9
第5章其他.......................................................................................................................................11
...............................................................................................................................11
*...............................................................................11
,应禁止远程访问*...................................................................11
*.................................................................................12
.....................................................................................................13
第6章评审与修订...........................................................................................................................14
:.
第1章概述
本文档旨在指导数据库管理人员进行Mysql数据库系统的安全配置。
本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。
Mysql数据库系统。
:.
第2章帐号
安全基线项
数据库管理系统Mysql远程登录安全基线要求项
目名称
安全基线编
SBL-Mysql-02-01-01
号
安全基线项以普通帐户安全运行mysqld,禁止mysql以管理员帐号权限运行。
说明
检测操作步
1、参考配置操作
骤
Unix下可以通过在/etc/:
[]
user=mysql
2、补充操作说明
基线符合性1、判定条件
判定依据
各种操作系统下以管理员权限运行。
Unix下禁止以root帐号运行mysqld;
2、检测操作
检查进程属主和运行参数是否包含--user=mysql类似语句:
#ps–ef|grepmysqld
#grep-iuser/etc/
备注
*
安全基线项数据库管理系统Mysql用户属性控制策略安全基线要求项
目名称
安全基线编
SBL-Mysql-02-01-02
号
安全基线项应按照用户分配帐号,避免不同用户间共享帐号
说明:.
骤//创建用户
mysql>mysql>insertinto
(Host,User,Password,ssl_cipher,x509_issuer,x509_sub
ject)values("localhost","pppadmin",password("passwd"),'','','');
这样就创建了一个名为:phplamp密码为:1234的用户。
然后登录一下。
mysql>exit;
@>mysql-uphplamp-p
@>输入密码
mysql>登录成功
判定依据不用名称的用户可以连接数据库
使用不同用户连接数据库
备注手工检查
*
安全基线项
数据库管理系统Mysql帐号管理安全基线要求项
目名称
安全基线编
SBL-Mysql-02-01-03
号
安全基线项应删除或锁定与数据库运行、维护等工作无关的帐号
说明
骤DROPUSER语句用于删除一个或多个MySQL账户。要使用DROPUSER,必须拥
有mysql数据库的全局CREATEUSER权限或DELETE权限。账户名称的用户和
主机部分与用户表记录的User和Host列值相对应。
使用DROPUSER,您可以取消一个账户和其权限,操作如下:
DROPUSERuser;
该语句可以删除来自所有授权表的帐户权限记录。
要点:
DROPUSER不能自动关闭任何打开的用户对话。而且,如果用户有打开的对
话,此时取消用户,则命令不会生效,直到用户对话被关闭后才生效。一旦
对话被关闭,用户也被取消,此用户再次试图登录时将会失败。
基线符合性检测操作:
判定依据mysql查看所有用户的语句:.
输入指令selectuser();
依次检查所列出的账户是否为必要账户,删除无用户或过期账户。
注:无关的帐号主要指测试帐户、共享帐号、长期不用帐号(半年以上不用)
等
备注手工检查
:.
第3章口令
安全基线项
数据库管理系统Mysql账户口令安全基线要求项
目名称
安全基线编
SBL-Mysql-03-01-01
号
安全基线项
检查帐户默认密码和弱密码,口令长度至少8位,并包括数字、小写字母、大
说明
写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应
至少每90天进行更换。
骤修改帐户弱密码
如要修改密码,执行如下命令:
mysql>updateusersetpassword=password('test!p3')whereuser='root';
mysql>flushprivileges;
判定依据密码长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至
少2类。
检查本地密码:(注意,管理帐号root默认是空密码)
mysql>usemysql;
mysql>selectHost,User,Password,Select_priv,Grant_privfromuser;
备注
*
安全基线项
数据库管理系统Mysql权限分配策略安全基线要求项
目名称:.
安全基线编
SBL-Mysql-03-02-01
号
安全基线项在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
说明
检测操作步
1、参考配置操作
骤
合理设置用户权限,撤销危险授权。
2、补充操作说明
基线符合性1判定条件
判定依据
确保数据库没有不必要的或危险的授权
2检测操作
查看数据库授权情况:
mysql>usemysql;
mysql>select*fromuser;
mysql>select*fromdb;
mysql>select*fromhost;
mysql>select*fromtables_priv;
mysql>select*fromcolumns_priv;
回收不必要的或危险的授权,可以执行revoke命令:
mysql>helprevoke
Name:'REVOKE'
Description:
Syntax:
REVOKE
priv_type[(column_list)]
[,priv_type[(column_list)]]...
ON[object_type]
{
*
|*.*
|db_name.*
|
|tbl_name
|
}
FROMuser[,user]...
备注手工检查
:.
第4章日志
*
安全基线项
数据库管理系统Mysql配置日志功能安全基线要求项
目名称
安全基线编
SBL-Mysql-04-01-01
号
安全基线项数据库应配置日志功能,
说明
检测操作步
mysql有以下几种日志:
骤
错误日志:-log-err
查询日志:-log(可选)
慢查询日志:-log-slow-queries(可选)
更新日志:-log-update
二进制日志:-log-bin
在mysql的安装目录下,,在后面加上上面的参数,保存后重启
mysql服务就行了。
例如:
#.
#log-bin=
#.
#log=
#.
log-error=
#.
#log-update=:.
上面只开启了错误日志,要开其他的日志就把前面的“#”去掉
1、补充操作说明
showvariableslike'log_%';查看所有的log命令
2、showvariableslike'log_bin';查看具体的log命令
基线符合性
1判定条件
判定依据
启用审核记录对数据库的操作,便于日后检查。
2检测操作
打开/etc/,查看是否包含如下设置:
[mysqld]
log=
备注手工检查
:.
第5章其他
*
安全基线项
数据库管理系统Mysql补丁安全基线要求项
目名称
安全基线编
SBL-Mysql-05-01-01
号
安全基线项系统安装了最新的安全补丁(注:在保证业务及网络安全的前提下,经过兼
说明容性测试后)
检测操作步
1、参考配置操作
骤
下载并安装最新mysql安全补丁,
2、补充操作说明
安全警报和补丁下载网址是
基线符合性
1判定条件
判定依据
确保数据库为企业版,并且安装了最新安全补丁。如果是不安全的社区版,
建议替换为企业版(收费)
2检测操作
使用如下命令查看当前补丁版本:
mysql>SELECTVERSION()
备注根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
,应禁止远程访问*
安全基线项
数据库管理系统Mysql远程访问安全基线要求项
目名称
安全基线编SBL-Mysql-05-01-02
号
安全基线项禁止网络连接,防止猜解密码攻击,溢出攻击和嗅探攻击。(仅限于应用和数
说明据库在同一台主机的情况):.
检测操作步
1、参考配置操作
骤
如果数据库不需远程访问,可以禁止远程tcp/ip连接,通过在mysqld服务器
中参数中添加--skip-networking启动参数来使mysql不监听任何TCP/IP连
接,增加安全性。
2、补充操作说明
基线符合性
1判定条件
判定依据
远程无法连接
2检测操作
#cat/etc/
#ps-ef|grep-imysql
或从客户机远程telnetmysqlserver3306
备注根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
*
安全基线项
数据库管理系统Mysql访问策略安全基线要求项
目名称
安全基线编SBL-Mysql-05-01-03
号
安全基线项
通过数据库所在操作系统或防火墙限制,只有信任的IP地址才能通过监听器
说明
访问数据库。
检测操作步
1、参考配置操作
骤
执行命令:mysql>GRANTALLPRIVILEGESONdb.*
·->->TO用户名@'IP子网/掩码';
只有通过指定IP地址段的用户才可以登录
2、补充操作说明
基线符合性
1、判定条件
判定依据
在非信任的客户端以数据库账户登陆被提示拒绝。
2、检测操作
用户从其它子网登录,将被拒绝
3、补充说明
备注手工检查:.
安全基线项
数据库管理系统Mysql连接数安全基线要求项
目名称
安全基线编
SBL-Mysql-05-01-04
号
安全基线项根据机器性能和业务需求,设制最大最小连接数。
说明
检测操作步
1、参考配置操作
骤
编辑MySQL配置文件:
在[mysqld]配置段添加:
max_connections=1000
保存,重启MySQL服务。
基线符合性
1、判定条件
判定依据
2、检测操作
用命令:SHOW[FULL]PROCESSLIST显示哪些线程正在运行
mysqladmin-uroot-pvariables
输入root数据库帐号的密码后可看到
|max_connections|1000|
3、补充说明
备注
:.
第6章评审与修订
MySql数据库安全配置基线 来自淘豆网m.daumloan.com转载请标明出处.
