前言
最近几年,个人信息泄露、信息篡改等信息安全事件屡见不鲜。这些个人信息数据都存在着一定的风险,总有人会去想办法窃取、篡改、贩卖,从中牟利,如:北京市教育考试院信息篡改事件、教育学籍信息泄漏事件、深圳孕妇信息的“泄密光盘”、车主股民信息泄露、福彩中奖信息篡改、“力拓门”事件;从个人的隐私到企业的商业秘密,甚至是政府国家的核心机密,都出现了不同程度的信息安全问题。
而上述的这些案例告诉我们:数据安全保护十分重要。由于目前大部分重要数据都是通过数据库系统来存储的,因此,数据库安全保护尤其重要。
本章节我将对Mysql数据库进行必要的安全加固具体看题:
任务环境说明:
服务器场景:p9_linux-12(用户名:root;密码:123456)
服务器场景操作系统:Linux(版本未知)
安全加固
打开网络拓扑,点击启动选项,启动实验虚拟机
进入虚拟机操作系统:CentOS 6.8,登陆数据库(用户名:root;密码:root),查看数据库版本号,将查看数据库版本号的命令作为flag提交;
使用命令mysql -uroot -proot登陆数据库
mysql -uroot -proot
然后使用命令select version();
select version();
本题提交Flag:【 select version(); 】
进入虚拟机操作系统:CentOS 6.8,登陆数据库(用户名:root;密码:root),查看数据库版本号,将查询到的数据库版本号作为flag提交;
查看数据库版本号
根据上面查询到的结果,可以知道数据库版本号为5.1.73
本题提交Flag:【 5.1.73 】
进入虚拟机操作系统:CentOS 6.8,登陆数据库(用户名:root;密码:root),进入mysql数据库,查看所有用户及权限,找到可以从任意 IP 地址访问的用户,将该用户的用户名作为flag提交;(如有多个可以从任意 IP 地址访问的用户,提交形式为用户名|用户名|用户名|用户名)
使用命令use mysql;选择MySQL库
use mysql;
然后使用命令show tables;查看数据库中的表
show tables;
使用命令select user,host from user where host=’%’;
select user,host from user where host=’%’;
可以看到user的下面对应着用户名:test
本题提交Flag:【 test 】
进入虚拟机操作系统:CentOS 6.8,登陆数据库(用户名:root;密码:root),进入mysql数据库,查看所有用户及权限,找到可以从任意 IP 地址访问的用户,使用drop命令将该用户删除,将操作命令作为flag提交。
使用命令drop user ‘test’@’%’;
drop user ‘test’@’%’;
本题提交Flag: 【 drop user ‘test’@’%’; 】
进入虚拟机操作系统:CentOS 6.8,登陆数据库(用户名:root;密码:root),进入mysql数据库,改变默认 mysql 管理员的名称,将系统的默认管理员root 改为 admin,防止被列举,将操作命令作为flag提交。
使用命令update user set user=’admin’ where user=’root’;
update user set user=’admin’ where user=’root’;
然后使用命令select user,password,host from user; ,查看是否更改成功:
select user,password,host from user;
本题提交Flag:【 update user set user=’admin’ where user=’root’; 】
实验结束,关闭虚拟机。