操作系统级权限检查
1、检查数据库的运行权限,不建议以root运行数据库,防止越权攻击
ps -ef | egrep "^mysql.*$"
如图显示mysqld的运行用户为mysql
2、禁用mariadb的历史记录功能
查找缓存文件
find $HOME -name ".mysql_history"
将缓存文件指向空文件
rm -f $HOME/.mysql_history
ln -s /dev/null $HOME/.mysql_history
3、查看并配置数据库存放路径权限
登录数据库
mysql -u root -p
查看数据库存放路径
show variables where variable_name = 'datadir';
退出数据库
quit或者exit
查看数据库存放路径权限
ls -l /var/lib | grep mysql
如图权限为755,使用以下命令改为700
chmod 700 /var/lib/mysql
Mariadb数据库的通用安全配置
1、删除默认的test数据库
进入数据库
show DATABASES LIKE 'test';
删除数据库
DROP DATABASE test;
2、禁用local_infile参数
查看local_infile参数是否开启
show variables where variable_name = 'local_infile';
如上图显示local_infile 是开启状态,需要修改mariadb配置文件。
3、修改secure_file_priv参数
查看secure_file_priv参数
SHOW GLOBAL VARIABLES WHERE Variable_name = 'secure_file_priv' ;
如图显示路径为空,表示所有路径,建议设置为固定值,需要修改mariadb配置文件。
4、确定只有root用户有内置数据库mysql的权限
查看内置数据库的权限
SELECT user, host FROM mysql.user WHERE (Select_priv = 'Y') OR (Insert_priv = 'Y') OR (Update_priv = 'Y') OR (Delete_priv = 'Y') OR (Create_priv = 'Y') OR (Drop_priv = 'Y');
5、查看file_priv权限,确定只有root用户有
select user, host from mysql.user where file_priv = 'Y';
撤销用户权限
如果在上例检查中,发现非root用户,可以使用下面命令撤销
revoke file on *.* from 'user';
同时这里检查权限还应有process_priv、super_priv这些字段。
6、配置允许用户登录的主机
查看当前用户可以登录的主机
select user,host from mysql.user;
更新用户允许登录的主机,如
update mysql.user set host="192.168.1.200" where host="localhost" and user="root";
7、查看密码安全策略
show variables like 'validate_password%';