系统安全加固(四) 数据库系统加固

常见数据库的加固思路，数据库主要是需要防范数据库用户密码，因为如果获取到的是数据库的管理员用户后果也非常严重，像sql server的 SA 用户以及 mysql 的 root 用户这些都是必须设置为强密码的，再就是修改配置文件，禁用危险函数、做好访问控制、开启日志审计以及进行访问控制

数据库加固思路

1. 账号配置
   应按照用户分配账号，避免不同用户间共享账号
   应删除或锁定与数据库运行、维护等工作无关的账号
   删除过期账号
2. 权限配置
   在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限
3. 口令安全
   对于采用静态口令进行认证的数据库，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类
4. 日志配置
   数据库应配置日志功能，记录相关日志。
5. 安全补丁
   在保证业务可用性的前提下，经过分析测试后，可以选择更新使用最新版本的补丁
6. 访问控制
   通过数据库所在操作系统或防火墙限制，只有信任的IP地址才能通过监听器访问数据库

MySQL 安全加固

1. 账号配置
   删除不需要的数据库账号。

   DROP USER user

   应按照用户分配帐号，避免不同用户间共享帐号。

2. 口令安全
   不使用默认密码和弱密码。

   修改密码命令
   mysql> UPDATE user set password=PASSWORD('test!p3’) WHERE user='root’;

3. 权限配置
   禁止MySQL以系统管理员账号权限运行，使用非管理员专用账号来运行mysql服务。

   • Windows系统

     直接打开任务管理器，查看运行mysql进程的操作系统账号，不能为administrator账号

   • Linux系统

     查看mysql服务的运行账号是否为root或其他高权限账号
     ps -ef | grep mysql

4. 数据库账户权限配置
   MySQL数据库下的user表和db表中存放着可以授予数据库用户的权限，确保只有管理员账号才能访问所有数据库。可以访问mysql数据库的用户或许可以查看密码哈希值、修改用户权限等等。

   查看数据库授权情况
   mysql> use mysql;
   mysql> select * from user;
   mysql> select * from db;
   授予指定用户权限指定表的权限
   mysql> Grant select,insert,update,delete on tablename to ‘username’@’hostname’;
   

5. 日志配置
   根据需求开启对应日志的审计功能

   开启错误日志审计，打开my.ini(Windows)或my.cnf(Linux)，在[mysqld]下添加
   log-error=“/var/log/mysqld.log”

6. 访问控制

   • 修改MySQL默认端口3306

     打开my.ini或者my.cnf，在[mysqld]下修改
     port=3306  #修改成合适端口

   • 网络访问限制，在防火墙中做限制，只允许与指定的 IP 地址与3306端口（或MySQL数据库的指定端口）通讯

     创建指定IP的远程用户
     mysql> GRANT ALL privileges on 库名.表名 to ‘用户名’@‘IP地址’ identified by ‘密码’ with grant option;
     mysql> flush privileges;

7. 其他配置
   安装最新的安全补丁日志，通过SELECT VERSION()查看版本

Redis 安全加固

1. 口令配置
   开启redis密码，并设置高复杂度密码

   编辑redis.conf
   requirepass test123!@#;

2. 授权管理
   禁止使用root启动redis，使用普通账户启动redis
   限制redis文件目录访问权限

   $chmod 700 /var/lib/redis    #redis目录
   $chmod 600 /etc/redis/redis.conf    #redis配置文件

   禁用或重命名危险命令

   在redis.conf配置文件添加
   rename-command CONFIG CONFIG_1    #重命名命令CONFIG为CONFIG_1
   rename-command FLUSHDB “”          #禁用此命令

3. 访问控制
   修改默认端口6379

   修改redis.conf配置文件：
   port 5656

   配置redis仅监听在指定IP地址

   修改redis.conf配置文件：
   bind 127.0.0.1 192.168.13.124

SQL Server 安全加固

1. 账号管理
   禁用SA帐户远程登陆
   非SA权限的用户不能够访问数据库系统表
   
   删除不必要的帐号

   • SQL SERVER管理器→安全性→登陆，删除无关帐号
     

   • SQL SERVER管理器→数据库→对应数据库→安全性→用户，删除无关帐号
     

2. 口令安全
   对用户的属性进行安全检查，包括空密码、密码更新时间等，并更改弱密码

   查看所有用户
   SELECT * FROM sysusers
   查看口令为空的用户
   SELECT name,Password FROM syslogins where password is null order by name
   更改口令
   Use master
   exec sp_password ‘旧口令’,‘新口令’,用户名

3. 授权管理
   分配数据库用户所需的最小权限

   • 更改数据库属性，取消业务数据库帐号不需要的服务器角色
     

   • 更改数据库属性，取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色
     

4. 日志配置
   SQLServer登录审计

   • 新建审核，配置存放审核日志的文件路径。注：创建完成后需要右击->启用审核
     

   • 创建服务器审核规范，对用户登录进行记录，记录内容包括用户登录使用的帐号、登录是否成功、登录时间等
     

   • 退出重新登录后，查看创建的审核日志
     

   SQLServer安全事件审计
   默认开启日志记录，打开企业管理器，查看数据库“管理”中的“SQL Server日志”
   

5. 访问控制
   修改默认端口1433
   开始菜单栏搜索并打开 sqlServer 配置管理器->网络配置->MSSQLSERVER的协议->TCP/IP 属性->IP地址，修改TCP端口
   

6. 其他配置
   检查当前所有已安装的数据库产品的版本信息，根据实际情况安装补丁
   使用 select @@version 查询数据库版本信息
   
   停用不必要的存储过程

Oracle 安全加固

1. 账号管理
   删除不必要的账号

   DROP USER 用户名 CASCADE

   限制超级管理员远程登录

   • 使用管理员账户登录，命令：sqlplus sys/sys的密码 as sysdba
     

   • 使用命令“show parameter REMOTE_LOGIN_PASSWORDFILE”，检查参数REMOTE_LOGIN_PASSWORDFILE 是否设置为NONE
     

   • 检查在$ORACLE_HOME/network/admin/sqlnet.ora文件中参数SQLNET.AUTHENTICATION_SERVICES 设置为 NONE
     

2. 口令安全
   更改默认帐号密码
   使用 DBCONSOLE 管理，在打开浏览器输入 URL 地址：http://localhost:1158/em，选择连接身份为 SYSDBA 进行登录。而后点击“首选项”，修改口令
   

3. 权限管理
   最小权限使用规则
   只提供最小权限给用户（包括SYSTEM和OBJECT权限）

   撤销不需要的权限和角色，使用SQL语句执行REVOKE
   REVOKE EXECUTE ON SYS.UTL_SMTP FROM PUBLIC;
   REVOKE SELECT ON ALL_USERS FROM PUBLIC;

4. 日志配置
   查看审计功能是否开启

   SQL> show parameter audit
   NAME TYPE VALUE
   audit_sys_operations boolean TRUE
   audit_trail string DB_EXTENDED
   
   audit_sys_operations：默认为false，当设置为true时，所有sys用户（包括以sysdba, sysoper身份登录的用户）的操作都会被记录
   Audit_trail：
   DB：将audit trail 记录在数据库的审计相关表中，如aud$，审计的结果只有连接信息；
   DB_Extended：这样审计结果里面除了连接信息还包含了当时执行的具体语句；
   使用以下语句进行更改
   SQL> alter system set audit_trail=db_extended scope=spfile;

5. 访问控制

   • 修改默认的监听端口1521

     修改$ORACLE_HOME/network/admin/listener.ora
     修改PORT的值为新的监听端口
     (ADDRESS = (PROTOCOL = TCP)(HOST = 127.0.0.1)(PORT = 3521))

     

   • IP访问限制

     修改$ORACLE_HOME/network/admin/listener.ora
     tcp.validnode_checking=yes
     tcp.invited_nodes=(localhost,本机ip, 应用服务器ip，管理机ip等)

   • 超时的空闲远程连接自动断开

     修改$ORACLE_HOME/network/admin/listener.ora
     SQLNET.EXPIRE_TIME=10

   • 查看是否配置当用户连续认证失败次数超过10次，锁定该用户使用的帐号的策略

     select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users.profile and dba_users.account_status=‘OPEN’ and resource_name=‘FAILED_LOGIN_ATTEMPTS’;

     

6. 其他配置
   及时更新数据库的安全补丁
   查看http://metalink.oracle.com，参考Oracle厂商建议与实际情况，下载并安装相关的安全补丁