MySql数据库安全配置基线
Mysql数据库系统安全配置基线
版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注:
若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目 录
第1章概述4
1.1目的4
1.2适用范围4
1.3适用版本4
1.4实施4
1.5例外条款4
第2章帐号5
2.1帐号安全5
2.1.1禁止Mysql以管理员帐号权限运行5
2.1.2避免不同用户间共享帐号*5
2.1.3删除无关帐号*6
第3章口令8
3.1口令安全8
3.1.1不使用默认密码和弱密码8
3.2授权8
3.2.1分配用户最小权限*8
第4章日志10
4.1日志审计10
4.1.1配置日志功能*10
第5章其他12
5.1其他配置12
5.1.1安装了最新的安全补丁*12
5.1.2如果不需要,应禁止远程访问*12
5.1.3可信IP地址访问控制*13
5.1.4连接数设置14
第6章评审与修订15
概述
目的
本文档旨在指导管理人员进行的安全配置。本的使用者包括:管理员、应用管理员、网络安全管理员。实施例外条款
帐号
帐号安全
禁止Mysql以管理员帐号权限运行
安全基线项目名称数据库管理系统Mysql远程登录安全基线要求项安全基线编号SBL-Mysql-02-01-01 安全基线项说明 以普通帐户安全运行mysqld,禁止mysql以管理员帐号权限运行。 检测操作步骤1、参考配置操作
Unix下可以通过在/etc/f中设置:
[mysql.server]
user=mysql
2、补充操作说明基线符合性判定依据1、判定条件
各种操作系统下以管理员权限运行。
Unix下禁止以root帐号运行mysqld;
2、检测操作
检查进程属主和运行参数是否包含--user=mysql类似语句:
# ps –ef | grepmysqld
#grep -i user /etc/f备注避免不同用户间共享帐号*
安全基线项目名称数据库管理系统Mysql用户属性控制策略安全基线要求项安全基线编号SBL-Mysql-02-01-02 安全基线项说明 应按照用户分配帐号,避免不同用户间共享帐号检测操作步骤1.参考配置操作
//创建用户
mysql> mysql> insert into
mysql.user(Host,User,Password,ssl_cipher,x509_issuer,x509_sub
ject) values("localhost","pppadmin",password("passwd"),'','','');
这样就创建了一个名为:phplamp 密码为:1234 的用户。
然后登录一下。
mysql>exit;
@>mysql -u phplamp -p
@>输入密码
mysql>登录成功
2.补充操作说明
基线符合性判定依据1.判定条件
不用名称的用户可以连接数据库
2.检测操作
使用不同用户连接数据库备注手工检查删除无关帐号*
安全基线项目名称数据库管理系统Mysql帐号管理安全基线要求项安全基线编号SBL-Mysql-02-01-03 安全基线项说明 应删除或锁定与数据库运行、维护等工作无关的帐号检测操作步骤1.参考配置操作
DROP USER语句用于删除一个或多个MySQL账户。要使用DROP USER,必须拥有mysql数据库的全局CREATE USER权限或DELETE权限。账户名称的用户和主机部分与用户表记录的User和Host列值相对应。
使用DROP USER,您可以取消一个账户和其权限,操作如下:
DROP USER user;
该语句可以删除来自所有授权表的帐户权限记录。
2.补充操作说明
要点:
DROP USER不能自动关闭任何打开的用户对话。而且,如果用户有打开的对话,此时取消用户,则命令不会生效,直到用户对话被关闭后才生效。一旦对话被关闭,用户也被取消,此用户再次试图登录时将会失败。
基线符合性判定依据检测操作:
mysql 查看所有用户的语句
输入指令select user();
依次检查所列出的账户是否为必要账户,删除无用户或过期账户。
注:无关的帐号主要指测试帐户、共享帐号、长期不用帐号(半年以上不用)等备注手工检查
口令
口令安全
不使用默认密码和弱密码
安全基线项目名称数据库管理系统Mysql账户口