安全:Mysql安全建议。

最新推荐文章于 2023-12-30 15:09:43 发布
最新推荐文章于 2023-12-30 15:09:43 发布
阅读量801 收藏
点赞数
分类专栏: # 安全。 文章标签: 数据库 linux mysql 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/en_joker/article/details/109471197
版权

为MySQL服务使用专用的最低特权账户

描述

使用最低权限账户运行服务可减小MySQL天生漏洞的影响。受限账户将无法访问与MySQL无关的资源,例如操作系统配置。

建议

使用非root和非sudo权限用户启动MySQL服务

禁止使用--skip-grant-tables选项启动MySQL服务

描述

使用此选项,会导致所有客户端都对所有数据库具有不受限制的访问权限。

建议

编辑Mysql配置文件<conf_path>/my.cnf,删除skip-grant-tables参数,并重启mysql服务

禁用local-infile选项

描述

禁用local_infile选项会降低攻击者通过SQL注入漏洞器读取敏感文件的能力

建议

编辑Mysql配置文件<conf_path>/my.cnf,在mysqld 段落中配置local-infile参数为0,并重启mysql服务:

local-infile=0

删除'test'数据库

描述

测试数据库可供所有用户访问,并可用于消耗系统资源。删除测试数据库将减少MySQL服务器的攻击面。

建议

登录数据库执行以下SQL语句删除test数据库:

DROP DATABASE test;
flush privileges;

确保配置了log-error选项 

描述

启用错误日志可以提高检测针对mysql和其他关键消息的恶意尝试的能力,例如,如果错误日志未启用,则连接错误可能会被忽略。

建议

编辑Mysql配置文件<conf_path>/my.cnf,在mysqld_safe 段落中配置log-error参数,<log_path>代表存放日志文件路径,如:/var/log/mysqld.log,并重启mysql服务:

log-error=<log_path>

确保log-raw选项没有配置为ON

描述

当log-raw记录启用时,有权访问日志文件的人可能会看到纯文本密码。

建议

编辑Mysql配置文件<conf_path>/my.cnf,删除log-raw参数,并重启mysql服务。

确保没有用户配置了通配符主机名

描述

避免在主机名中只使用通配符,有助于限定可以连接数据库的客户端,否则服务就开放到了公网

建议

执行SQL更新语句,为每个用户指定允许连接的host范围。 1. 登录数据库,执行use mysql; ; 2. 执行语句select user,Host from user where Host='%';查看HOST为通配符的用户; 3. 删除用户或者修改用户host字段,删除语句:DROP USER 'user_name'@'%'; 。更新语句:update user set host = <new_host> where host = '%';。 4. 执行SQL语句:

OPTIMIZE TABLE user;
flush privileges;

匿名登录检查

描述

检查MySQL服务是否允许匿名登录

建议

登录MySQL数据库,执行以下命令删除匿名账户:

delete from user where user='';
flush privileges;

禁用symbolic-links选项

描述

禁用符号链接以防止各种安全风险

建议

编辑Mysql配置文件<conf_path>/my.cnf,在mysqld 段落中配置symbolic-links=0,5.6及以上版本应该配置为skip_symbolic_links=yes,并重启mysql服务。

确保MYSQL_PWD环境变量未设置

描述

MYSQL_PWD环境变量的使用意味着MYSQL凭证的明文存储,极大增加MySQL凭据泄露风险。

建议

删除系统环境变量中MySQL密码(MYSQL_PWD)配置

修改默认3306端口

描述

避免使用熟知的端口,降低被初级扫描的风险建议

建议

编辑<conf_path>/my.cnf文件,mysqld 段落中配置新的端口参数,并重启MySQL服务:

port=3506

数据库登录弱口令

描述

若系统使用弱口令,存在极大的被恶意猜解入侵风险,需立即修复。

建议

登录mysql数据库;
查看数据库用户密码信息:`SELECT user, host, authentication_string FROM user;` 部分版本查询命令为:`SELECT user, host, password FROM user;` 
根据查询结果及弱密码告警信息修改具体用户的密码:`SET PASSWORD FOR '用户名'@'主机' = PASSWORD('新密码');`
执行刷新命令:`flush privileges;`

新口令应符合复杂性要求:

1、长度8位以上
2、包含以下四类字符中的三类字符:
   英文大写字母(A 到 Z)
   英文小写字母(a 到 z)
   10 个基本数字(0 到 9)
   非字母字符(例如 !、$、#、%、@、^、&)
3、避免使用已公开的弱口令,如:abcd.1234 、admin@123等
软件求生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
7-1 MySQL安全基线检查
weixin_43263566的博客
10-26 1156
安全基线是一个信息系统的最小安全保证即该信息系统最基本需要满足的安全要求。它是在安全付出成本与所能够承受的安全风险之间进行平衡的合理分界线。不满足系统最基本的安全需求,将无法承受由此带来的安全风险。同时,过度满足非基本安全需求也会导致超额安全成本的付出。因此,构造信息系统安全基线已经成为系统安全工程的首要步骤,同时也是进行安全评估和解决信息系统安全性问题的先决条件。总结起来,安全基线是确保信息系统最低安全要求的保证,它在安全成本和风险承受能力之间找到了平衡点。
Mysql服务安全加固1
08-08
MySQL 服务的安全加固是保障数据安全和系统稳定的关键步骤。以下是对标题和描述中提到的知识点的详细说明: 1. **帐号安全**: - **禁止以管理员权限运行mysqld**:为了防止不必要的权限滥用,应确保MySQL服务以非...
mysql数据库安全加固
qq_43590351的博客
10-11 4205
mysql安全加固
mysql基线检查
weixin_51047454的博客
02-08 347
mysql基线检查
等保基线核查——MYSQL数据库
weixin_43965325的博客
10-25 860
关于mysql数据库的基线核查
数据库基线
duxingxia356的专栏
06-12 5177
基线是度量变化的一个参考。基线常常用于医药领域。医生在为病人开药时,会测量病人的血压和心率,采集体重或者进行血液检查。在过了一段时间以后,医生会重 新采集同样的数据来观察什么指标发生了变化,以便充分评估药物的影响。 在IT领域,也存在同样的方式。DBA们也能够使用基线来衡量计划或者未计划的变化的影响。在最好的情况下,这些数据可以用来快速识别那些计划外的导致性能问题的行为。同
MySQL安全配置详解
08-29
MySQL 安全配置详解 ...根据官方的建议,至目前为止,推荐使用目前的稳定版本 MySQL 5.1。如果你正在运行一个老的系统并且想要升级,但是又不想冒险进行非无缝升级,应该升级到最新版本中你正使用的相同的发布系列。
保障MySQL数据安全的一些建议
09-08
以下是一些针对MySQL数据库安全建议: 1. **权限管理**: - 回收DBA权限:尽管DBA需要有足够的权限来维护数据库,但不应赋予过多权限,以免增加风险。应建立完善的自动化运维平台,逐步收回不必要的权限。 - ...
怎样安全地关闭MySQL实例
09-08
MySQL安全关闭详解】 在MySQL数据库管理中,安全地关闭实例是至关重要的,因为它涉及到数据的完整性、系统稳定性以及服务的连续性。本篇将详细解释如何安全地关闭MySQL实例,确保在关闭过程中不会丢失重要数据,...
mysql安全设置加固指导教程
05-14
MySQL 安全设置加固指导教程 MySQL 数据库安全设置是数据库管理员的首要任务之一。为了确保数据库安全,需要从多个方面进行加固。以下是 MySQL 安全设置加固指导教程的详细内容: 一、账户安全 账户安全是 ...
服务器基线核查脚本
12-20
服务器基线脚本,审查基线漏洞,生成对应结果报告!!
安全加固】MySQL数据库安全加固
最新发布
A1_3_9_7的博客
12-30 992
MySQL数据库安全加固
mysql 凭证_【转】mysql安全基线设置
weixin_29482557的博客
01-19 160
一、禁用local-infile选项|访问控制禁用local_infile选项会降低攻击者通过SQL注入漏洞器读取敏感文件的能力编辑Mysql配置文件/etc/my.cnf,在[mysqld] 段落中配置local-infile参数为0,并重启mysql服务:```local-infile=0```二、删除'test'数据库|服务配置测试数据库可供所有用户访问,并可用于消耗系统资源。删除测试数...
安全加固——Mysql
m0_62207482的博客
12-10 359
rw-r--r-- 1 mysql mysql 1833 1月 29 2021 debian_create_root_user.sql。2.使用sudo vi /etc/apache2/apache2.conf命令打开配置文件,增加如图-16所示的信息设置。2.使用sudo vi /etc/apache2/apache2.conf命令打开配置文件,增加如图所示的信息设置。2.使用sudo vi /etc/apache2/apache2.conf命令打开配置文件,增加如图所示的信息设置。
linux下实现mysql数据库的主从配置、容灾备份、数据恢复和安全基线检查
weixin_46447549的博客
11-27 5358
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录实验准备1.实验环境2.下载安装MySQL一、数据库主从配置1.概念2.配置内容二、数据库备份三、数据库恢复四、数据库安全策略设置1.修改root用户的密码2.开启General Log:五、数据库安全审计1.配置日志功能:2.禁用LOCAL INFILE六、数据库安全基线检查1.删除'test'数据库 | 服务配置2.禁用symbolic-links选项 | 服务配置3.确保配置了log-error选项 | 安全审计 实验准备
【无标题】
weixin_52194536的博客
08-28 430
MySQL基线检查
mysql扩展名已被弃用,mysql扩展名已弃用,以后将被删除:改用mysqli或PDO
weixin_42364392的博客
01-26 470
When I attempt to connect to a MySQL server from PHP, I see the following error:Deprecated: The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead in /path/to/f...
mysql基线检查_Mysql安全基线检查
weixin_36229293的博客
01-28 708
禁用local-infile选项 | 访问控制描述禁用local_infile选项会降低攻击者通过SQL注入漏洞器读取敏感文件的能力加固建议编辑Mysql配置文件/etc/my.cnf,在mysqld 段落中配置local-infile参数为0,并重启mysql服务:local-infile=0确保配置了log-error选项描述启用错误日志可以提高检测针对mysql和其他关键消息的恶意尝试的能力...
Mysql安全基线
Zhang_Jian
05-13 930
Mysql安全基线 支持版本:Mysql5.1-5.7 访问控制 1.高危-禁用local-infile选项 描述: 禁用local_infile选项会降低攻击者通过SQL注入漏洞器读取敏感文件的能力 加固建议: 编辑Mysql配置文件<conf_path&...
保障Web应用安全:深度配置MySQL的最佳实践
本文档详细介绍了如何安全地配置和应用MySQL数据库,针对MySQL在Web应用中的广泛使用及其潜在的安全风险展开讨论。作者首先强调了对MySQL服务器安全性的重视,因为默认安装的MySQL存在安全隐患,例如root密码为空和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

软件求生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值