基线管理之MariaDB安全配置

实验目的

MariaDB的安全配置过程与配置方法，掌握数据库安全配置对安全运维至关重要。

实验环境

一台Centos7 已安装MariaDB数据库

实验原理

通过配置文件与数据库的配置，实现MariaDB安全配置

实验步骤

一、操作系统级权限检查

1、检查数据库的运行权限，不建议以root运行数据库，防止越权攻击

ps -ef | egrep "^mysql.*$"

如图显示mysqld的运行用户为mysql

2、禁用mariadb的历史记录功能

查找缓存文件

find $HOME -name ".mysql_history"

将缓存文件指向空文件

rm -f $HOME/.mysql_history
ln -s /dev/null $HOME/.mysql_history

3、查看并配置数据库存放路径权限

登录数据库

mysql -uroot -p

 查看数据库存放路径

show variables where variable_name = 'datadir';

退出数据库

quit

查看数据库存放路径权限

ls -l /var/lib | grep mysql

如图权限为755，使用以下命令改为700

chmod 700 /var/lib/mysql

二、Mariadb数据库的通用安全配置

1、删除默认的test数据库

进入数据库

mysql -uroot -p

 查看test库

show DATABASES LIKE 'test';

 删除数据库

DROP DATABASE test;

 2、禁用local_infile参数

查看local_infile参数是否开启

show variables where variable_name = 'local_infile';

 如上图显示local_infile 是开启状态，需要修改mariadb配置文件。修改方法，见后文。

3、修改secure_file_priv参数

查看secure_file_priv参数

SHOW GLOBAL VARIABLES WHERE Variable_name = 'secure_file_priv' ;

如图显示路径为空，表示所有路径，建议设置为固定值，需要修改mariadb配置文件。修改方法，见后文。

 4、确定只有root用户有内置数据库mysql的权限

查看内置数据库的权限

SELECT user, host FROM mysql.user WHERE (Select_priv = 'Y') OR (Insert_priv = 'Y') OR (Update_priv = 'Y') OR (Delete_priv = 'Y') OR (Create_priv = 'Y') OR (Drop_priv = 'Y');

5、查看file_priv权限，确定只有root用户有

select user, host from mysql.user where file_priv = 'Y';

撤销用户权限

如果在上例检查中，发现非root用户，可以使用下面命令撤销

revoke file on *.* from 'user';

同时这里检查权限还应有process_priv、super_priv这些字段。

6、配置允许用户登录的主机

查看当前用户可以登录的主机

select user,host from mysql.user;

更新用户允许登录的主机，如

update mysql.user set host="192.168.1.200" where host="localhost" and user="root";

 

7、查看密码安全策略

show variables like 'validate_password%';