一、MariaDB的安全配置过程与配置方法:
1.删除默认的mariadb包
搜索mariadb现有的包
rpm -qa | grep mariadb
如果存在删除(下面的删除命令如果删不了的话,就一个一个删)
rpm -e --nodeps mariadb-*
2.删除mysql包(如有)
搜索 mysql 现有的包
rpm -qa | grep mysql
如果存在(删除你实际查询出来的mysql结果即可)
yum remove mysql mysql-server mysql-libs compat-mysql51
3.安装命令
yum -y install mariadb mariadb-server
启动命令
systemctl start mariadb
如果你的是centos6版本,启动命令如下
service mariadb start
初始化命令:
mysql_secure_installation
Enter current password for root (enter for none):<–初次运行直接回车
设置密码
Set root password? [Y/n] y<– 是否设置root用户密码,输入y并回车或直接回车
New password: <– 设置root用户的密码
Re-enter new password: <– 再输入一次你设置的密码
其他配置
Remove anonymous users? [Y/n] y<– 是否删除匿名用户,回车
Disallow root login remotely? [Y/n] n<–是否禁止root远程登录,根据自己的需求选择Y/n并回车
Remove test database and access to it? [Y/n] y<– 是否删除test数据库,回车
Reload privilege tables now? [Y/n] y<– 是否重新加载权限表,回车
二、操作系统级权限检查:
1.查数据库的运行权限,不建议以root运行数据库,防止越权攻击
ps -ef | egrep "^mysql.*$"
如图显示mysqld的运行用户为mysql
2.禁用mariadb的历史记录功能:
查找缓存文件
find $HOME -name ".mysql_history"
将缓存文件指向空文件
rm -f $HOME/.mysql_history
ln -s /dev/null $HOME/.mysql_history
3.查看并配置数据库存放路径权限:
登录数据库
mysql -u root -p
查看数据库存放路径
show variables where variable_name = 'datadir';
退出数据库
quit
查看数据库存放路径权限
ls -l /var/lib | grep mysql
如图权限为755,使用以下命令改为700
chmod 700 /var/lib/mysql
三、Mariadb数据库的通用安全配置:
1.删除默认的test数据库:
mysql -u root -p
show DATABASES LIKE 'test';
无默认数据库,如有则,DROP DATABASE 'test';
2.禁用local_infile参数:
查看local_infile参数是否开启
show variables where variable_name = 'local_infile';
如上图显示local_infile 是开启状态,需要修改mariadb配置文件。
3.修改secure_file_priv参数
查看secure_file_priv参数
SHOW GLOBAL VARIABLES WHERE Variable_name = 'secure_file_priv' ;
如图显示路径为空,表示所有路径,建议设置为固定值,需要修改mariadb配置文件。
4.确定只有root用户有内置数据库mysql的权限:
查看内置数据库的权限
SELECT user, host FROM mysql.user WHERE (Select_priv = 'Y') OR (Insert_priv = 'Y') OR (Update_priv = 'Y') OR (Delete_priv = 'Y') OR (Create_priv = 'Y') OR (Drop_priv = 'Y');
5.查看file_priv权限,确定只有root用户有
select user, host from mysql.user where file_priv = 'Y';
撤销用户权限
如果在上例检查中,发现非root用户,可以使用下面命令撤销
revoke file on *.* from 'user';
同时这里检查权限还应有process_priv、super_priv这些字段。
6.配置允许用户登录的主机
查看当前用户可以登录的主机
select user,host from mysql.user;
更新用户允许登录的主机,如
update mysql.user set host="192.168.1.200" where host="localhost" and user="root";
7.查看密码安全策略
show variables like 'validate_password%';
三、验证安全配置:
1.生成两个任意文件:
echo 1111 > /tmp/111.txt
echo 2222 > /var/222.txt
2.进入数据库
mysql -u root -p
3.导入文件,前面我们查看参数时,发现local_infile参数为on
执行以下操作
创建数据库
create database temp;
use temp;
创建表,并导入/tmp/111.txt
create table table_test(cmd text);
insert into table_test(cmd) values (load_file('/tmp/111.txt'));
select cmd from table_test;
再次导入/var/222.txt
insert into table_test(cmd) values (load_file('/var/222.txt'));
select cmd from table_test;
发现导入成功
3.配置禁止导入,与导入路径:
退出数据库
quit
编辑数据库配置文件
vim /etc/my.cnf
加入下面行,指定允许导入的路径,如/tmp
secure_file_priv=/tmp
保存并退出文件
重启mariadb数据库
systemctl restart mariadb
进入数据库
mysql -u root -p
尝试导入文件
use temp;
insert into table_test(cmd) values (load_file('/var/222.txt'));
select * from table_test;