安全:Mysql安全建议。

最新推荐文章于 2024-06-29 16:04:10 发布
最新推荐文章于 2024-06-29 16:04:10 发布
阅读量923 收藏
点赞数
分类专栏: # 安全。 文章标签: 数据库 linux mysql 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/en_joker/article/details/109471197
版权

为MySQL服务使用专用的最低特权账户

描述

使用最低权限账户运行服务可减小MySQL天生漏洞的影响。受限账户将无法访问与MySQL无关的资源,例如操作系统配置。

建议

使用非root和非sudo权限用户启动MySQL服务

禁止使用--skip-grant-tables选项启动MySQL服务

描述

使用此选项,会导致所有客户端都对所有数据库具有不受限制的访问权限。

建议

编辑Mysql配置文件<conf_path>/my.cnf,删除skip-grant-tables参数,并重启mysql服务

禁用local-infile选项

描述

禁用local_infile选项会降低攻击者通过SQL注入漏洞器读取敏感文件的能力

建议

编辑Mysql配置文件<conf_path>/my.cnf,在mysqld 段落中配置local-infile参数为0,并重启mysql服务:

local-infile=0

删除'test'数据库

描述

测试数据库可供所有用户访问,并可用于消耗系统资源。删除测试数据库将减少MySQL服务器的攻击面。

建议

登录数据库执行以下SQL语句删除test数据库:

DROP DATABASE test;
flush privileges;

确保配置了log-error选项 

描述

启用错误日志可以提高检测针对mysql和其他关键消息的恶意尝试的能力,例如,如果错误日志未启用,则连接错误可能会被忽略。

建议

编辑Mysql配置文件<conf_path>/my.cnf,在mysqld_safe 段落中配置log-error参数,<log_path>代表存放日志文件路径,如:/var/log/mysqld.log,并重启mysql服务:

log-error=<log_path>

确保log-raw选项没有配置为ON

描述

当log-raw记录启用时,有权访问日志文件的人可能会看到纯文本密码。

建议

编辑Mysql配置文件<conf_path>/my.cnf,删除log-raw参数,并重启mysql服务。

确保没有用户配置了通配符主机名

描述

避免在主机名中只使用通配符,有助于限定可以连接数据库的客户端,否则服务就开放到了公网

建议

执行SQL更新语句,为每个用户指定允许连接的host范围。 1. 登录数据库,执行use mysql; ; 2. 执行语句select user,Host from user where Host='%';查看HOST为通配符的用户; 3. 删除用户或者修改用户host字段,删除语句:DROP USER 'user_name'@'%'; 。更新语句:update user set host = <new_host> where host = '%';。 4. 执行SQL语句:

OPTIMIZE TABLE user;
flush privileges;

匿名登录检查

描述

检查MySQL服务是否允许匿名登录

建议

登录MySQL数据库,执行以下命令删除匿名账户:

delete from user where user='';
flush privileges;

禁用symbolic-links选项

描述

禁用符号链接以防止各种安全风险

建议

编辑Mysql配置文件<conf_path>/my.cnf,在mysqld 段落中配置symbolic-links=0,5.6及以上版本应该配置为skip_symbolic_links=yes,并重启mysql服务。

确保MYSQL_PWD环境变量未设置

描述

MYSQL_PWD环境变量的使用意味着MYSQL凭证的明文存储,极大增加MySQL凭据泄露风险。

建议

删除系统环境变量中MySQL密码(MYSQL_PWD)配置

修改默认3306端口

描述

避免使用熟知的端口,降低被初级扫描的风险建议

建议

编辑<conf_path>/my.cnf文件,mysqld 段落中配置新的端口参数,并重启MySQL服务:

port=3506

数据库登录弱口令

描述

若系统使用弱口令,存在极大的被恶意猜解入侵风险,需立即修复。

建议

登录mysql数据库;
查看数据库用户密码信息:`SELECT user, host, authentication_string FROM user;` 部分版本查询命令为:`SELECT user, host, password FROM user;` 
根据查询结果及弱密码告警信息修改具体用户的密码:`SET PASSWORD FOR '用户名'@'主机' = PASSWORD('新密码');`
执行刷新命令:`flush privileges;`

新口令应符合复杂性要求:

1、长度8位以上
2、包含以下四类字符中的三类字符:
   英文大写字母(A 到 Z)
   英文小写字母(a 到 z)
   10 个基本数字(0 到 9)
   非字母字符(例如 !、$、#、%、@、^、&)
3、避免使用已公开的弱口令,如:abcd.1234 、admin@123等
7-1 MySQL安全基线检查
weixin_43263566的博客
10-26 1401
安全基线是一个信息系统的最小安全保证即该信息系统最基本需要满足的安全要求。它是在安全付出成本与所能够承受的安全风险之间进行平衡的合理分界线。不满足系统最基本的安全需求,将无法承受由此带来的安全风险。同时,过度满足非基本安全需求也会导致超额安全成本的付出。因此,构造信息系统安全基线已经成为系统安全工程的首要步骤,同时也是进行安全评估和解决信息系统安全性问题的先决条件。总结起来,安全基线是确保信息系统最低安全要求的保证,它在安全成本和风险承受能力之间找到了平衡点。
chown –r mysql:mysql_MySQL安全配置
weixin_29209825的博客
02-23 1803
MySQL_Help_Link1 安全策略1.1 管理意义上的数据安全访问 MySQL 数据库必须首先访问数据库的某个权限、即以某个权限模式用户的身份登录,大部分的安全管理主要通过模式用户的权限来实现。MySQL 的相关权限信息主要存放在 grant tables 的系统表中,即 mysql.User(全局级别权限) 、 mysql.db (数据库级别权限)、 mysql.Host(数据库级别权...
mysql基线检查_Mysql安全基线检查
weixin_36229293的博客
01-28 757
禁用local-infile选项 | 访问控制描述禁用local_infile选项会降低攻击者通过SQL注入漏洞器读取敏感文件的能力加固建议编辑Mysql配置文件/etc/my.cnf,在mysqld 段落中配置local-infile参数为0,并重启mysql服务:local-infile=0确保配置了log-error选项描述启用错误日志可以提高检测针对mysql和其他关键消息的恶意尝试的能力...
mysql 基线检查_Mysql安全基线检查
weixin_39942318的博客
01-28 270
禁用local-infile选项 | 访问控制描述禁用local_infile选项会降低攻击者通过SQL注入漏洞器读取敏感文件的能力加固建议编辑Mysql配置文件/etc/my.cnf,在mysqld 段落中配置local-infile参数为0,并重启mysql服务:local-infile=0确保配置了log-error选项描述启用错误日志可以提高检测针对mysql和其他关键消息的恶意尝试的能力...
mysql基线检查
weixin_51047454的博客
02-08 443
mysql基线检查
保障MySQL数据安全的一些建议
09-08
主要介绍了MySQL数据安全的一些建议,帮助大家平时更好的运维数据库,保障数据安全,感兴趣的朋友可以了解下
mysql-shell:mysql-shell-8.4.0-windows-x86-64bit.zip
05-26
7. **安全特性**:支持SSL连接,确保数据传输的安全性;此外,它还提供了身份验证插件管理,便于配置和管理用户权限。 8. **复制和集群管理**:MySQL Shell包含对InnoDB集群的全面支持,允许用户轻松设置、监控和...
怎样安全地关闭MySQL实例
09-08
MySQL安全关闭详解】 在MySQL数据库管理中,安全地关闭实例是至关重要的,因为它涉及到数据的完整性、系统稳定性以及服务的连续性。本篇将详细解释如何安全地关闭MySQL实例,确保在关闭过程中不会丢失重要数据,...
Mysql服务安全加固1
08-08
MySQL 服务的安全加固是保障数据安全和系统稳定的关键步骤。以下是对标题和描述中提到的知识点的详细说明: 1. **帐号安全**: - **禁止以管理员权限运行mysqld**:为了防止不必要的权限滥用,应确保MySQL服务以非...
mysql数据库安全审计_等保测评2.0:MySQL安全审计
weixin_39745345的博客
02-28 1428
一、说明本篇文章主要说一说MySQL数据库安全审计控制点的相关内容和理解。MySQL除了自身带有的审计功能外,还存在着一些其它的审计插件。虽然遇到这些插件的概率不高,我还是把这些插件的基本参数都列出来,到时候如果真遇到了,也不至于一头雾水。二、测评项a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及...
数据库Mysql--基线检查(上)
qq_15794365的博客
06-29 1894
信息系统-风险评估,MySQL基线检查
MySQL安全基线检查
dzqxwzoe的博客
03-01 574
安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求。它是在安全付出成本与所能够承受的安全风险之间进行平衡的合理分界线。不满足系统最基本的安全需求,将无法承受由此带来的安全风险。同时,过度满足非基本安全需求也会导致超额安全成本的付出。因此,构造信息系统安全基线已经成为系统安全工程的首要步骤,同时也是进行安全评估和解决信息系统安全性问题的先决条件。总结起来,安全基线是确保信息系统最低安全要求的保证,它在安全成本和风险承受能力之间找到了平衡点。
MYSQL安全基线社区版
11-29
本文档适用于计划开发,部署,评估或保护包含Oracle MySQL Enterprise Edition 5.7的解决方案的系统和应用程序管理员,安全专家,审计员,技术支持人员和平台部署人员。
数据库Mysql--基线检查(下)
最新发布
qq_15794365的博客
06-29 1901
信息系统-风险评估,MySQL基线检查
mysql 数据库防御_MySQL数据库在网络安全方面的一些防御措施_MySQL
weixin_39614276的博客
02-18 217
随着网络的普及,基于网络的应用也越来越多。网络数据库就是其中之一。通过一台或几台服务器可以为很多客户提供服务,这种方式给人们带来了很多方便,但也给不法分子造成了可乘之机。由于数据都是通过网络传输的,这就可以在传输的过程中被截获,或者通过非常手段进入数据库。由于以上原因,数据库安全就显得十分重要。因此,本文就以上问题讨论了MySQL数据库在网络安全方面的一些措施。帐户安全帐户是MySQL最简单的安全...
关于加强MYSQL安全的几点建议
09-10
现在php+mysql组合越来越多,这里脚本之家小编就为大家分享一下mysql的安装设置的几个小技巧
MySQL安全配置详解
08-29
MySQL 安全配置详解 ...根据官方的建议,至目前为止,推荐使用目前的稳定版本 MySQL 5.1。如果你正在运行一个老的系统并且想要升级,但是又不想冒险进行非无缝升级,应该升级到最新版本中你正使用的相同的发布系列。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

软件求生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值