资源描述:
《MySQL数据库安全配置》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、MySQL数据库安全配置规范2010年11月第1章概述1.1适用范围本规范适用于中国电信通信网、业务系统和支撑系统的MySQL数据库。本规范明确了MySQL数据库安全配置方面的基本要求。第2章安全配置要求2.1账号编号:1要求内容以普通帐户安全运行mysqld,禁止mysql以root帐号权限运行,攻击者可能通过mysql获得系统root超级用户权限,完全控制系统。操作指南:1、参考配置操作可以通过在/etc/my.cnf中设置:[mysql.server]user=mysql2、补充操作说明检查方法:1、判定条件禁止以root账号
2、运行mysqld;2、检测操作检查进程属主和运行参数是否包含--user=mysql类似语句:#ps–ef
3、grepmysqld#grep-iuser/etc/my.cnf编号:2要求内容应按照用户分配账号,避免不同用户间共享账号操作指南1.参考配置操作//创建用户mysql>mysql>insertintomysql.user(Host,User,Password,ssl_cipher,x509_issuer,x509_subject)values("localhost","pppadmin",password("passwd")
4、,'','','');这样就创建了一个名为:phplamp密码为:1234的用户。然后登录一下。mysql>exit;@>mysql-uphplamp-p@>输入密码mysql>登录成功2.补充操作说明检测方法1.判定条件不用名称的用户可以连接数据库2.检测操作使用不同用户连接数据库编号:3要求内容应删除或锁定与数据库运行、维护等工作无关的账号操作指南1.参考配置操作DROPUSER语句用于删除一个或多个MySQL账户。要使用DROPUSER,必须拥有mysql数据库的全局CREATEUSER权限或DELETE权限。账户名称的用户和
5、主机部分与用户表记录的User和Host列值相对应。使用DROPUSER,您可以取消一个账户和其权限,操作如下:DROPUSERuser;该语句可以删除来自所有授权表的帐户权限记录。2.补充操作说明要点:DROPUSER不能自动关闭任何打开的用户对话。而且,如果用户有打开的对话,此时取消用户,则命令不会生效,直到用户对话被关闭后才生效。一旦对话被关闭,用户也被取消,此用户再次试图登录时将会失败。检测方法检侧操作:mysql查看所有用户的语句输入指令selectuser();依次检查所列出的账户是否为必要账户,删除无用户或过期账户。1
6、.1口令编号:1要求内容检查帐户默认密码和弱密码操作指南1.参考配置操作修改帐户弱密码如要修改密码,执行如下命令:mysql>updateusersetpassword=password('test!p3')whereuser='root';mysql>flushprivileges;2.补充操作说明检测方法1.判定条件密码长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。2.检测操作检查本地密码:(注意,管理帐号root默认是空密码)mysql>usemysql;mysql>selectHost,User,Pa
7、ssword,Select_priv,Grant_privfromuser;1.2权限设置编号:1要求内容在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。操作指南1、参考配置操作合理设置用户权限2、补充操作说明检测方法1判定条件确保数据库没有不必要的或危险的授权2检测操作查看数据库授权情况:mysql>usemysql;mysql>select*fromuser;mysql>select*fromdb;mysql>select*fromhost;mysql>select*fromtables_priv;mysql>
8、select*fromcolumns_priv;回收不必要的或危险的授权,可以执行revoke命令:mysql>helprevokeName:'REVOKE'Description:Syntax:REVOKEpriv_type[(column_list)][,priv_type[(column_list)]]...ON[object_type]{*
9、*.*
10、db_name.*
11、db_name.tbl_name
12、tbl_name
13、db_name.routine_name}FROMuser[,user]...1.1日志审计编号:1要求内
14、容数据库应配置日志功能,操作指南mysql有以下几种日志:错误日志:-log-err查询日志:-log慢查询日志:-log-slow-queries更新日志:-log-update二进制日志:-log-bin在mysql的安装目录下,