常见数据库的加固思路,数据库主要是需要防范数据库用户密码,因为如果获取到的是数据库的管理员用户后果也非常严重,像sql server的 SA 用户以及 mysql 的 root 用户这些都是必须设置为强密码的,再就是修改配置文件,禁用危险函数、做好访问控制、开启日志审计以及进行访问控制
数据库加固思路
- 账号配置
应按照用户分配账号,避免不同用户间共享账号
应删除或锁定与数据库运行、维护等工作无关的账号
删除过期账号 - 权限配置
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限 - 口令安全
对于采用静态口令进行认证的数据库,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类 - 日志配置
数据库应配置日志功能,记录相关日志。 - 安全补丁
在保证业务可用性的前提下,经过分析测试后,可以选择更新使用最新版本的补丁 - 访问控制
通过数据库所在操作系统或防火墙限制,只有信任的IP地址才能通过监听器访问数据库
MySQL 安全加固
-
账号配置
删除不需要的数据库账号。DROP USER user
应按照用户分配帐号,避免不同用户间共享帐号。
-
口令安全
不使用默认密码和弱密码。修改密码命令
mysql> UPDATE user set password=PASSWORD('test!p3’) WHERE user='root’; -
权限配置
禁止MySQL以系统管理员账号权限运行,使用非管理员专用账号来运行mysql服务。-
Windows系统
直接打开任务管理器,查看运行mysql进程的操作系统账号,不能为administrator账号
-
Linux系统
查看mysql服务的运行账号是否为root或其他高权限账号
ps -ef | grep mysql
-
-
数据库账户权限配置
MySQL数据库下的user表和db表中存放着可以授予数据库用户的权限,确保只有管理员账号才能访问所有数据库。可以访问mysql数据库的用户或许可以查看密码哈希值、修改用户权限等等。查看数据库授权情况
mysql> use mysql;
mysql> select * from user;
mysql> select * from db;
授予指定用户权限指定表的权限
mysql> Grant select,insert,update,delete on tablename to ‘username’@’hostname’;
-
日志配置
根据需求开启对应日志的审计功能开启错误日志审计,打开my.ini(Windows)或my.cnf(Linux),在[mysqld]下添加
log-error=“/var/log/mysqld.log” -
访问控制
- 修改MySQL默认端口3306
打开my.ini或者my.cnf,在[mysqld]下修改
port=3306 #修改成合适端口 - 网络访问限制,在防火墙中做限制,只允许与指定的 IP 地址与3306端口(或MySQL数据库的指定端口)通讯
创建指定IP的远程用户
mysql> GRANT ALL privileges on 库名.表名 to ‘用户名’@‘IP地址’ identified by ‘密码’ with grant option;
mysql> flush privileges;
- 修改MySQL默认端口3306
-
其他配置
安装最新的安全补丁日志,通过SELECT VERSION()查看版本
Redis 安全加固
-
口令配置
开启redis密码,并设置高复杂度密码编辑redis.conf
requirepass test123!@#; -
授权管理
禁止使用root启动redis,使用普通账户启动redis
限制redis文件目录访问权限$chmod 700 /var/lib/redis #redis目录
$chmod 600 /etc/redis/redis.conf #redis配置文件禁用或重命名危险命令
在redis.conf配置文件添加
rename-command CONFIG CONFIG_1 #重命名命令CONFIG为CONFIG_1
rename-command FLUSHDB “” #禁用此命令 -
访问控制
修改默认端口6379修改redis.conf配置文件:
port 5656配置redis仅监听在指定IP地址
修改redis.conf配置文件:
bind 127.0.0.1 192.168.13.124
SQL Server 安全加固
-
账号管理
禁用SA帐户远程登陆
非SA权限的用户不能够访问数据库系统表
删除不必要的帐号-
SQL SERVER管理器→安全性→登陆,删除无关帐号
-
SQL SERVER管理器→数据库→对应数据库→安全性→用户,删除无关帐号
-
-
口令安全
对用户的属性进行安全检查,包括空密码、密码更新时间等,并更改弱密码查看所有用户
SELECT * FROM sysusers
查看口令为空的用户
SELECT name,Password FROM syslogins where password is null order by name
更改口令
Use master
exec sp_password ‘旧口令’,‘新口令’,用户名 -
授权管理
分配数据库用户所需的最小权限-
更改数据库属性,取消业务数据库帐号不需要的服务器角色
-
更改数据库属性,取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色
-
-
日志配置
SQLServer登录审计-
新建审核,配置存放审核日志的文件路径。注:创建完成后需要右击->启用审核
-
创建服务器审核规范,对用户登录进行记录,记录内容包括用户登录使用的帐号、登录是否成功、登录时间等
-
退出重新登录后,查看创建的审核日志
SQLServer安全事件审计
默认开启日志记录,打开企业管理器,查看数据库“管理”中的“SQL Server日志”
-
-
访问控制
修改默认端口1433
开始菜单栏搜索并打开 sqlServer 配置管理器->网络配置->MSSQLSERVER的协议->TCP/IP 属性->IP地址,修改TCP端口
-
其他配置
检查当前所有已安装的数据库产品的版本信息,根据实际情况安装补丁
使用 select @@version 查询数据库版本信息
停用不必要的存储过程
Oracle 安全加固
-
账号管理
删除不必要的账号DROP USER 用户名 CASCADE
限制超级管理员远程登录
-
使用管理员账户登录,命令:sqlplus sys/sys的密码 as sysdba
-
使用命令“show parameter REMOTE_LOGIN_PASSWORDFILE”,检查参数REMOTE_LOGIN_PASSWORDFILE 是否设置为NONE
-
检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES 设置为 NONE
-
-
口令安全
更改默认帐号密码
使用 DBCONSOLE 管理,在打开浏览器输入 URL 地址:http://localhost:1158/em,选择连接身份为 SYSDBA 进行登录。而后点击“首选项”,修改口令
-
权限管理
最小权限使用规则
只提供最小权限给用户(包括SYSTEM和OBJECT权限)撤销不需要的权限和角色,使用SQL语句执行REVOKE
REVOKE EXECUTE ON SYS.UTL_SMTP FROM PUBLIC;
REVOKE SELECT ON ALL_USERS FROM PUBLIC; -
日志配置
查看审计功能是否开启SQL> show parameter audit
NAME TYPE VALUE
audit_sys_operations boolean TRUE
audit_trail string DB_EXTENDED
audit_sys_operations:默认为false,当设置为true时,所有sys用户(包括以sysdba, sysoper身份登录的用户)的操作都会被记录
Audit_trail:
DB:将audit trail 记录在数据库的审计相关表中,如aud$,审计的结果只有连接信息;
DB_Extended:这样审计结果里面除了连接信息还包含了当时执行的具体语句;
使用以下语句进行更改
SQL> alter system set audit_trail=db_extended scope=spfile; -
访问控制
-
修改默认的监听端口1521
修改$ORACLE_HOME/network/admin/listener.ora
修改PORT的值为新的监听端口
(ADDRESS = (PROTOCOL = TCP)(HOST = 127.0.0.1)(PORT = 3521)) -
IP访问限制
修改$ORACLE_HOME/network/admin/listener.ora
tcp.validnode_checking=yes
tcp.invited_nodes=(localhost,本机ip, 应用服务器ip,管理机ip等) -
超时的空闲远程连接自动断开
修改$ORACLE_HOME/network/admin/listener.ora
SQLNET.EXPIRE_TIME=10 -
查看是否配置当用户连续认证失败次数超过10次,锁定该用户使用的帐号的策略
select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users.profile and dba_users.account_status=‘OPEN’ and resource_name=‘FAILED_LOGIN_ATTEMPTS’;
-
-
其他配置
及时更新数据库的安全补丁
查看http://metalink.oracle.com,参考Oracle厂商建议与实际情况,下载并安装相关的安全补丁