基线管理之MariaDB安全配置

已于 2022-03-03 16:13:53 修改
阅读量617 收藏 1
点赞数
分类专栏: 等保测评 基线管理 文章标签: MariaDB 安全配置 权限检查 参数修改 数据库安全
于 2021-12-13 23:35:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gjqhs/article/details/121913615
版权

实验目的

MariaDB的安全配置过程与配置方法,掌握数据库安全配置对安全运维至关重要。

实验环境

一台Centos7 已安装MariaDB数据库

MariaDB安装命令如下

yum -y install mariadb

实验原理

通过配置文件与数据库的配置,实现MariaDB安全配置

实验步骤

一、操作系统级权限检查

1、检查数据库的运行权限(每排第一个),不建议以root运行数据库,防止越权攻击

ps -ef | egrep "^mysql.*$"

如图显示mysqld的运行用户为mysql

2、禁用mariadb的历史记录功能

查找缓存文件

find $HOME -name ".mysql_history"

将缓存文件指向空文件

rm -f $HOME/.mysql_history
ln -s /dev/null $HOME/.mysql_history

3、查看并配置数据库存放路径权限

登录数据库

mysql -u root -p

查看数据库存放路径

show variables where variable_name = 'datadir';

退出数据库

quit

查看数据库存放路径权限

ls -l /var/lib | grep mysql

如图权限为755,使用以下命令改为700

chmod 700 /var/lib/mysql

二、Mariadb数据库的通用安全配置

1、删除默认的test数据库

进入数据库

mysql -u root

show DATABASES LIKE 'test';

删除数据库

DROP DATABASE 'test';

2、禁用local_infile参数

查看local_infile参数是否开启

show variables where variable_name = 'local_infile';

如上图显示local_infile 是开启状态,需要修改mariadb配置文件。修改方法,见后文。

3、修改secure_file_priv参数

查看secure_file_priv参数

SHOW GLOBAL VARIABLES WHERE Variable_name = 'secure_file_priv' ;

如图显示路径为空,表示所有路径,建议设置为固定值,需要修改mariadb配置文件。修改方法,见后文。

4、确定只有root用户有内置数据库mysql的权限

查看内置数据库的权限

SELECT user, host FROM mysql.user WHERE (Select_priv = 'Y') OR (Insert_priv = 'Y') OR (Update_priv = 'Y') OR (Delete_priv = 'Y') OR (Create_priv = 'Y') OR (Drop_priv = 'Y');

5、查看file_priv权限,确定只有root用户有

select user, host from mysql.user where file_priv = 'Y';

撤销用户权限

如果在上例检查中,发现非root用户,可以使用下面命令撤销

revoke file on *.* from 'user';

同时这里检查权限还应有process_privsuper_priv这些字段。

6、配置允许用户登录的主机

查看当前用户可以登录的主机

select user,host from mysql.user;

更新用户允许登录的主机,如

update mysql.user set host="192.168.1.200" where host="localhost" and user="root";

7、查看密码安全策略

show variables like 'validate_password%';

三、验证安全配置

1、生成两个任意文件

echo 1111 > /tmp/111.txt

echo 2222 > /var/lib/mysql-files/222.txt

2、进入数据库

mysql -u root

3、导入文件,前面我们查看参数时,发现local_infile参数为on

执行以下操作

创建数据库

create database temp;

use temp;

创建表,并导入/tmp/111.txt

create table table_test(cmd text);

insert into table_test(cmd) values (load_file('/tmp/111.txt'));

select cmd from table_test;

再次导入/var/lib/mysql/222.txt

insert into table_test(cmd) values (load_file('/var/lib/mysql/222.txt'));

select cmd from table_test;

发现导入成功

3、配置禁止导入,与导入路径

退出数据库

quit

编辑数据库配置文件

vim /etc/my.cnf

加入下面行,指定允许导入的路径,如/tmp

secure_file_priv=/tmp

保存并退出文件

重启mariadb数据库

systemctl restart mariadb

进入数据库

mysql -u root -h 127.0.0.1

尝试导入文件

use temp;

insert into table_test(cmd) values (load_file('/var/lib/mysql/222.txt'));

select * from table_test;

虽然提示执行成功,但查看数据库时,发现值为NULL

实验总结

通过mariadb的配置文件与参数查看,理解mariadb的一些安全配置。

告诉桃花不用开了
关注
专栏目录
数据库安全配置
weixin_46831054的博客
12-14 2439
MariaDB安全配置 一.查看并配置数据库存放路径权限 登录数据库 mysql -u root 查看数据库存放路径 show variables where variable_name = ‘datadir’; 退出数据库,查看数据库存放路径权限 ls -l /var/lib | grep mysql 如图权限为755,建议改为700 chmod 700 /var/lib/mysql 二、Mariadb数据库的通用安全配置 1、删除默认的test数据库 进入数据库 mysql -u root 删除
mariadb安全配置
weixin_43622525的博客
12-13 2123
一、操作系统级权限检查 检查数据库的运行权限,不建议以root运行数据库,防止越权攻击 ps -ef | egrep "^mysql.*$" //显示mysqld的运行用户 禁用mariadb的历史记录功能 查找缓存文件 将缓存文件指向空文件 rm -f $HOME/.mysql_history ln -s /dev/null $HOME/.mysql_history 查看并配置数据库存放路径权限 mysql -u root-p quit //退出数据库 ...
MariaDB/MySQL安全配置以及账户管理
LanceLive
03-21 1407
MySQL安装好后,我们要对MySQL做一些初步的安全设置,使得其适用于生产环境,此外对MySQL账户的管理设置也是有讲究的,本文从安全的角度给大家介绍MySQL/MariaDB的相关设置。我们知道,初次安装好MySQL后,MySQL会默认自带一些用户和数据库,主要用于测试。而实际生产环境中不需要这些,为了避免带来安全隐患,我们应当移出这些测试库和无关用户。本文假设你已经安装好了MaiaDB,安装...
mysql安全配置_MySQL数据库安全配置规范操作
weixin_29338423的博客
01-18 910
1.账号以普通帐户安全运行mysqld,禁止mysql以root帐号权限运行,攻击者可能通过mysql获得系统root超级用户权限,完全控制系统。配置/etc/my.cnf[mysql.server]user=mysql补充操作说明直接通过本地网络之外的计算机改变生产环境中的数据库是异常危险的。有时,管理员会打开主机对数据库的访问:> GRANT ALL ON *.* TO 'root'@'...
基线管理之apache安全配置
Lu__xiao的博客
12-13 187
一、操作系统级权限检查 1、检查数据库的运行权限,不建议以root运行数据库,防止越权攻击 ps -ef | egrep "^mysql.*$"
安全配置
shangMD01的博客
12-14 4565
Windows安全配置 打开策略组:win+r 输入gpedit.msc回车 找到密码策略配置:计算机配置-Windows设置-安全设置-账户策略-密码策略 配置账户锁定阈值:计算机配置-Windows设置-安全设置-账户策略-账户锁定策略 配置安全选项:计算机配置-Windows设置-安全设置-本地策略-安全选项 账户:阻止Microsoft账户 交互式登录设置 用户账户控制 高级安全审核配置 账户登录:计算机管理配置-Windows设置-安全设置-高级...
mysql数据库安全配置规范_MySQL数据库安全配置
weixin_39689377的博客
02-02 196
tables_priv表指定表级权限。在这里指定的一个权限适用于一个表的所有列。mysql> desc columns_priv;+-------------+------------------------+------+-----+---------+----+| Field | Type | Null | Key | Default | Extra |+-------------+--...
MySQL数据库安全配置
weixin_47763101的博客
05-25 224
Mysql5.7以下默认root登录密码为空,安装完成之后首先需要修改root的登录密码。 # mysqladm –uroot password ‘new_password’ 或者登录mysql后修改 mysql> use mysql; mysql> update user set password=PASSWORD('mysql') where user='root'; mysql> flush privileges; 修改旧密码: # mysqladmin -uroo..
mysql开启审计日志_MariaDB开启日志审计功能
weixin_31714033的博客
02-02 1189
对于MySQL、Percona、MariaDB三家都有自己的审计插件,但是MySQL的审计插件是只有企业版才有的,同时也有很多第三方的的MySQL的审计插件,而Percona和MariaDB都是GPL的审计插件。MariaDB的审计插件,默认是没有安装的的,安装该插件并开启审计功能后,可以将对数据库的各种操作记录保存下来,以便追踪操作来源及具体操作。MariaDB版本:Server version...
MySQL安全配置基线
Innocence_0的博客
08-15 738
数据库备份就是为了防止原数据丢失,保证数据的安全。当数据库因为某些原因造成部分或者全部数据丢失后,备份文件可以帮我们找回丢失的数据。因此,数据备份是很重要的工作。一般可采用本地备份和网络备份的形式,可采用MySQL本身自带的mysqldump的方式和直接复制备份形式。定期对mysql进行异地备份。MySQL 初始化后会自动生成空用户和 test 库,以进行安装时的测试,这些都是不需要的,有安全隐患,所以需要将他们全部删除。然后将测试数据库删除。依次检查所列出的账户是否为必要账户,删除无用户或过期账户。
【实战】mariadb审计
yangzhawen
12-08 2483
mariadb审计功能的使用
基线管理MariaDB 安全配置
Piwrim的博客
12-13 2158
apache 一台Centos7 已安装MariaDB数据库 一,操作系统级权限检查 检查数据库的运行权限,不建议以root运行数据库,防止越权攻击 ps -ef | egrep "^mysql.*$" 禁用mariadb的历史纪录功能,查找缓存文件 find $HOME -name ".mysql_history" 将缓存文件指向空文件 rm -f $HOME/.mysql_history ln -s /dev/null..
MySQL数据库密码策略以及修改密码方式
最新发布
weixin_64341393的博客
12-29 2876
MySQL数据库修改密码策略密码长度、密码等教程大全
安装并设置mariadb密码
无笺札记
01-21 3022
安装: sudo apt install mariadb-server 第一次运行: mysql mysql > use mysql; mysql > set password for ‘root’@‘localhost’ = password(‘123456’); mysql > quit 设置完密码后一定要重启mysql服务: systemctl restart mysql ...
【MySQL密码策略查询为空】validate_password 插件安装
Liming07的博客
02-01 1733
SHOW VARIABLES LIKE 'validate_password%'; 不给返回查询结果,弄了很久很久知道了这个是因为并没有安装 validate_password 插件。
mariadb启用into outfile
奇怪的博客
05-11 475
mariadb启用secure-file-priv参数 0.停掉mariadb服务(systemctl stop mysql) 1.检查server的设置文件所在 2.在配置文件中另起一行写入 secure-file-priv = “参数” 3.保存配置 4.重启mariadb服务(systemctl restart mysql) FAQ Q:参数的可选值 A: 1.secure_file_priv 为空时,对导入导出无限制 2.一个指定的目录时,只能向指定的目录导入导出 3.为NULL时,禁止导入导出功能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值