mysql安全配置基线_MySql数据库安全配置基线.doc

MySql数据库安全配置基线

Mysql数据库系统安全配置基线

版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注：

若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目 录

第1章概述4

1.1目的4

1.2适用范围4

1.3适用版本4

1.4实施4

1.5例外条款4

第2章帐号5

2.1帐号安全5

2.1.1禁止Mysql以管理员帐号权限运行5

2.1.2避免不同用户间共享帐号*5

2.1.3删除无关帐号*6

第3章口令8

3.1口令安全8

3.1.1不使用默认密码和弱密码8

3.2授权8

3.2.1分配用户最小权限*8

第4章日志10

4.1日志审计10

4.1.1配置日志功能*10

第5章其他12

5.1其他配置12

5.1.1安装了最新的安全补丁*12

5.1.2如果不需要，应禁止远程访问*12

5.1.3可信IP地址访问控制*13

5.1.4连接数设置14

第6章评审与修订15

概述

目的

本文档旨在指导管理人员进行的安全配置。本的使用者包括：管理员、应用管理员、网络安全管理员。实施例外条款

帐号

帐号安全

禁止Mysql以管理员帐号权限运行

安全基线项目名称数据库管理系统Mysql远程登录安全基线要求项安全基线编号SBL-Mysql-02-01-01 安全基线项说明 以普通帐户安全运行mysqld，禁止mysql以管理员帐号权限运行。 检测操作步骤1、参考配置操作

Unix下可以通过在/etc/f中设置：

[mysql.server]

user=mysql

2、补充操作说明基线符合性判定依据1、判定条件

各种操作系统下以管理员权限运行。

Unix下禁止以root帐号运行mysqld;

2、检测操作

检查进程属主和运行参数是否包含--user=mysql类似语句：

# ps –ef | grepmysqld

#grep -i user /etc/f备注避免不同用户间共享帐号*

安全基线项目名称数据库管理系统Mysql用户属性控制策略安全基线要求项安全基线编号SBL-Mysql-02-01-02 安全基线项说明 应按照用户分配帐号，避免不同用户间共享帐号检测操作步骤1．参考配置操作

//创建用户

mysql> mysql> insert into

mysql.user(Host,User,Password,ssl_cipher,x509_issuer,x509_sub

ject) values("localhost","pppadmin",password("passwd"),'','','');

这样就创建了一个名为：phplamp 密码为：1234 的用户。

然后登录一下。

mysql>exit;

@>mysql -u phplamp -p

@>输入密码

mysql>登录成功

2．补充操作说明

基线符合性判定依据1.判定条件

不用名称的用户可以连接数据库

2.检测操作

使用不同用户连接数据库备注手工检查删除无关帐号*

安全基线项目名称数据库管理系统Mysql帐号管理安全基线要求项安全基线编号SBL-Mysql-02-01-03 安全基线项说明 应删除或锁定与数据库运行、维护等工作无关的帐号检测操作步骤1．参考配置操作

DROP USER语句用于删除一个或多个MySQL账户。要使用DROP USER，必须拥有mysql数据库的全局CREATE USER权限或DELETE权限。账户名称的用户和主机部分与用户表记录的User和Host列值相对应。

使用DROP USER，您可以取消一个账户和其权限，操作如下：

DROP USER user;

该语句可以删除来自所有授权表的帐户权限记录。

2．补充操作说明

要点：

DROP USER不能自动关闭任何打开的用户对话。而且，如果用户有打开的对话，此时取消用户，则命令不会生效，直到用户对话被关闭后才生效。一旦对话被关闭，用户也被取消，此用户再次试图登录时将会失败。

基线符合性判定依据检测操作：

mysql 查看所有用户的语句

输入指令select user();

依次检查所列出的账户是否为必要账户，删除无用户或过期账户。

注：无关的帐号主要指测试帐户、共享帐号、长期不用帐号(半年以上不用)等备注手工检查

口令

口令安全

不使用默认密码和弱密码

安全基线项目名称数据库管理系统Mysql账户口