运维系列:MySQL密码复杂度与密码过期策略介绍

于 2024-07-13 19:50:42 发布
阅读量478 收藏 5
点赞数 13
分类专栏: 运维 数据库 文章标签: 运维 mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54626591/article/details/140405249
版权

MySQL密码复杂度与密码过期策略介绍



前言:

年底了,你的数据库是不是该巡检了?一般巡检都会关心密码安全问题,比如密码复杂度设置,是否有定期修改等。特别是进行等保评测时,评测机构会要求具备密码安全策略。其实 MySQL 系统本身可以设置密码复杂度及自动过期策略的,可能比较少用,大多数同学并未详细去了解。本篇文章我们一起来学习下如何设置数据库账号密码复杂度及自动过期策略。

1.密码复杂度策略设置

MySQL 系统自带有 validate_password 插件,此插件可以验证密码强度,未达到规定强度的密码则不允许被设置。MySQL 5.7 及 8.0 版本默认情况下貌似都不启用该插件,这也使得我们可以随意设置密码,比如设置为 123、123456等。如果我们想从根源上规范密码强度,可以启用该插件,下面一起来看下如何通过此插件来设置密码复杂度策略。

1)查看是否已安装此插件

进入 MySQL 命令行,通过 show plugins 或者查看 validate_password 相关参数可以判断是否已安装此插件。若没有相关参数则代表未安装此插件

# 安装前检查 为空则说明未安装此插件
mysql> show variables like 'validate%';
Empty set (0.00 sec)

2)安装 validate_password 插件

# 通过 INSTALL PLUGIN 命令可安装此插件
# 每个平台的文件名后缀都不同 对于 Unix 和类 Unix 系统,为.so,对于 Windows 为.dll
mysql> INSTALL PLUGIN validate_password SONAME 'validate_password.so';
Query OK, 0 rows affected, 1 warning (0.28 sec)

查看 validate_password 相关参数

mysql> show variables like ‘validate%’;
+--------------------------------------±-------+
| Variable_name | Value |
+--------------------------------------±-------+
| validate_password_check_user_name | ON |
| validate_password_dictionary_file | |
| validate_password_length | 8 |
| validate_password_mixed_case_count | 1 |
| validate_password_number_count | 1 |
| validate_password_policy | MEDIUM |
| validate_password_special_char_count | 1 |
+--------------------------------------±-------+
7 rows in set (0.00 sec)

3)密码强度相关参数解释

安装 validate_password 插件后,多了一些密码强度相关参数,这些参数从字面意思上也很容易看懂,下面简单解释下几个重点参数。

1、validate_password_policy
代表的密码策略,默认是MEDIUM 可配置的值有以下:
0 or LOW 仅需需符合密码长度(由参数validate_password_length指定)
1 or MEDIUM 满足LOW策略,同时还需满足至少有1个数字,小写字母,大写字母和特殊字符
2 or STRONG 满足MEDIUM策略,同时密码不能存在字典文件(dictionary file)中

2、validate_password_dictionary_file
用于配置密码的字典文件,当validate_password_policy设置为STRONG时可以配置密码字典文件,字典文件中存在的密码不得使用。

3、validate_password_length
用来设置密码的最小长度,默认值是8

4、validate_password_mixed_case_count
当validate_password_policy设置为MEDIUM或者STRONG时,密码中至少同时拥有的小写和大写字母的数量,默认是1最小是0;默认是至少拥有一个小写和一个大写字母。

5、validate_password_number_count
当validate_password_policy设置为MEDIUM或者STRONG时,密码中至少拥有的数字的个数,默认1最小是0

6、validate_password_special_char_count
当validate_password_policy设置为MEDIUM或者STRONG时,密码中至少拥有的特殊字符的个数,默认1最小是0

4)密码复杂度策略具体设置

学习完以上参数,我们就可以根据自身情况来具体设置密码复杂度策略了,比如我想让密码至少 10 位且包含大小写字母、数字、特殊字符,则可以这样设置。

# 设置密码长度至少10位
mysql> set global validate_password_length = 10;
Query OK, 0 rows affected (0.00 sec)

mysql> show variables like ‘validate%’;
+--------------------------------------±-------+
| Variable_name | Value |
+--------------------------------------±-------+
| validate_password_check_user_name | ON |
| validate_password_dictionary_file | |
| validate_password_length | 10 |
| validate_password_mixed_case_count | 1 |
| validate_password_number_count | 1 |
| validate_password_policy | MEDIUM |
| validate_password_special_char_count | 1 |
+--------------------------------------±-------+
7 rows in set (0.00 sec)

若想永久生效,建议将以下参数写入配置文件

[mysqld]
plugin-load = validate_password.so
validate_password_length = 10
validate_password_policy = 1
validate-password = FORCE_PLUS_PERMANENT

5)测试密码复杂度

密码复杂度策略只对生效后的操作有效,比如说你之前有个账号,密码是 123 ,则该账号还是可以继续使用的,不过若再次更改密码则需满足复杂度策略。下面我们来测试下密码复杂度策略的具体效果。

# 新建用户设置密码
mysql> create user 'testuser'@'%' identified by '123';
ERROR 1819 (HY000): Your password does not satisfy the current policy requirements
mysql> create user 'testuser'@'%' identified by 'ab123';
ERROR 1819 (HY000): Your password does not satisfy the current policy requirements
mysql> create user 'testuser'@'%' identified by 'Ab@123';
ERROR 1819 (HY000): Your password does not satisfy the current policy requirements
mysql> create user 'testuser'@'%' identified by 'Bsdf@5467672';
Query OK, 0 rows affected (0.01 sec)

更改密码

mysql> alter user ‘testuser’@‘%’ identified by ‘dfgf3435’;
ERROR 1819 (HY000): Your password does not satisfy the current policy requirements
mysql> alter user ‘testuser’@‘%’ identified by ‘dBsdf@5467672’;
Query OK, 0 rows affected (0.01 sec)

2.设置密码自动过期

除了设置密码复杂度策略外,我们还可以设置密码自动过期,比如说隔 90 天密码会过期必须修改密码后才能继续使用,这样我们的数据库账号就更加安全了。下面我们来看下如何设置密码自动过期。

单独设置某个账号密码过期时间

使用 ALTER USER 语句可以使单个账号密码过期,也可以更改账号过期时间。

# 通过 mysql.user 系统表查看数据库账号状态
mysql> select user,host,password_expired,password_lifetime,password_last_changed,account_locked from mysql.user;
+------------------+-----------+------------------+-------------------+-----------------------+----------------+
| user             | host      | password_expired | password_lifetime | password_last_changed | account_locked |
+------------------+-----------+------------------+-------------------+-----------------------+----------------+
| expuser          | %         | N                |              NULL | 2021-01-05 14:30:30   | N              |
| root             | %         | N                |              NULL | 2020-10-30 14:45:43   | N              |
| testuser         | %         | N                |              NULL | 2021-01-04 17:22:37   | N              |
| mysql.infoschema | localhost | N                |              NULL | 2020-10-30 14:37:09   | Y              |
| mysql.session    | localhost | N                |              NULL | 2020-10-30 14:37:09   | Y              |
| mysql.sys        | localhost | N                |              NULL | 2020-10-30 14:37:09   | Y              |
| root             | localhost | N                |              NULL | 2020-10-30 14:38:55   | N              |
+------------------+-----------+------------------+-------------------+-----------------------+----------------+
7 rows in set (0.01 sec)

使 expuser 账号密码立即过期

mysql> ALTER USER ‘expuser’@‘%’ PASSWORD EXPIRE;
Query OK, 0 rows affected (0.00 sec)

mysql> select user,host,password_expired,password_lifetime,password_last_changed,account_locked from mysql.user;
+------------------±----------±-----------------±------------------±----------------------±---------------+
| user | host | password_expired | password_lifetime | password_last_changed | account_locked |
+------------------±----------±-----------------±------------------±----------------------±---------------+
| expuser | % | Y | NULL | 2021-01-05 14:30:30 | N |
| root | % | N | NULL | 2020-10-30 14:45:43 | N |
| testuser | % | N | NULL | 2021-01-04 17:22:37 | N |
| mysql.infoschema | localhost | N | NULL | 2020-10-30 14:37:09 | Y |
| mysql.session | localhost | N | NULL | 2020-10-30 14:37:09 | Y |
| mysql.sys | localhost | N | NULL | 2020-10-30 14:37:09 | Y |
| root | localhost | N | NULL | 2020-10-30 14:38:55 | N |
+------------------±----------±-----------------±------------------±----------------------±---------------+
7 rows in set (0.00 sec)

修改账号密码永不过期

mysql> ALTER USER ‘expuser’@‘%’ PASSWORD EXPIRE NEVER;
Query OK, 0 rows affected (0.01 sec)

单独设置该账号密码90天过期

mysql> ALTER USER ‘expuser’@‘%’ PASSWORD EXPIRE INTERVAL 90 DAY;
Query OK, 0 rows affected (0.00 sec)

mysql> select user,host,password_expired,password_lifetime,password_last_changed,account_locked from mysql.user;
+------------------±----------±-----------------±------------------±----------------------±---------------+
| user | host | password_expired | password_lifetime | password_last_changed | account_locked |
+------------------±----------±-----------------±------------------±----------------------±---------------+
| expuser | % | N | 90 | 2021-01-05 14:41:28 | N |
| root | % | N | NULL | 2020-10-30 14:45:43 | N |
| testuser | % | N | NULL | 2021-01-04 17:22:37 | N |
| mysql.infoschema | localhost | N | NULL | 2020-10-30 14:37:09 | Y |
| mysql.session | localhost | N | NULL | 2020-10-30 14:37:09 | Y |
| mysql.sys | localhost | N | NULL | 2020-10-30 14:37:09 | Y |
| root | localhost | N | NULL | 2020-10-30 14:38:55 | N |
+------------------±----------±-----------------±------------------±----------------------±---------------+
7 rows in set (0.00 sec)

让此账号使用默认的密码过期全局策略

mysql> ALTER USER ‘expuser’@‘%’ PASSWORD EXPIRE DEFAULT;
Query OK, 0 rows affected (0.01 sec)

mysql.user 系统表记录着每个账号的相关信息,当 password_expired 字段值为 Y 时,代表此密码已过期,使用过期密码仍可以登录,但不能进行任何操作,进行操作会提示:ERROR 1820 (HY000): You must reset your password using ALTER USER statement before executing this statement. 必须更改密码后才能进行正常操作。

对于给定过期时间的账号,比如说设置 90 天过期,数据库系统会比较当前时间与上次修改密码的时间差值,如果距离上次修改密码时间超过 90 天,则将此账号密码标记为过期,必须更改密码后才能进行操作。

设置全局过期策略

要构建全局密码自动过期策略,请使用 default_password_lifetime 系统变量。在 5.7.11 版本之前,默认的 default_password_lifetime 值为 360(密码大约每年必须更改一次),之后的版本默认值为 0,表示密码不会过期。此参数的单位是天,比如我们可以将此参数设置为 90 ,则表示全局密码自动过期策略是 90 天。

# 设置全局过期策略 先手动更改再加入配置文件
mysql> SET GLOBAL default_password_lifetime = 90;
Query OK, 0 rows affected (0.01 sec)

mysql> show variables like ‘default_password_lifetime’;
+---------------------------±------+
| Variable_name | Value |
+---------------------------±------+
| default_password_lifetime | 90 |
+---------------------------±------+
1 row in set (0.00 sec)

写入配置文件使得重启生效

[mysqld]
default_password_lifetime = 90

尽管可以通过将过期的密码设置为当前值来“重置”它,但出于良好的 Policy 考虑,最好选择其他密码。

总结:

本篇文章主要介绍了关于数据库密码的两项安全策略,密码复杂度加上密码过期策略,多一份策略多一份安心。要记住:安全无小事。

wx_blog.png






MySQL技术

MySQL密码复杂度与密码过期策略介绍

坦笑&&life
关注
  • 13
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MySQL运维内参:MySQL、Galera、Inception核心原理与最佳实践 part1
11-09
MySQL运维内参 MySQL Galera、Inception核心原理与最佳实践 PDF电子书下载 高清 带索引书签目录 周彦伟 电子工业出版社 P613 2017.6.1
MySQL运维内参:MySQL、Galera、Inception核心原理与最佳实践 part2
11-09
MySQL运维内参:MySQL、Galera、Inception核心原理与最佳实践_PDF电子书下载 高清 带索引书签目录_周彦伟 _电子工业出版社_P613_2017.6.1.part2.rar 解压需要第一部分,网址...
MySQL密码复杂度设置,超时退出,登录失败锁定
daitu_的博客
11-30 2390
服务器上的MySQL设置
等保测试问题修复MySQL8.0版本启用component_validate_password组件,设置密码复杂度,以及密码有效期
weixin_46062349的博客
05-13 558
等保测试 MySQL8.0版本启用validate_password插件,设置密码复杂度,以及密码有效期
MySQL密码策略和用户授权
huaz_md的博客
02-08 1656
以确保用户设置的密码符合安全标准。重启服务器后,密码策略被永久性修改。重启服务器后,密码策略被永久性修改。MySQL数据库管理系统中的。刚创建一个用户后,用户只有。
新特性解读 | MySQL 8.0 新密码策略(终篇)
ActionTech的博客
01-26 1225
作者:杨涛涛 资深数据库专家,专研 MySQL 十余年。擅长 MySQL、PostgreSQL、MongoDB 等开源数据库相关的备份恢复、SQL 调优、监控运维、高可用架构设计等。目前任职于爱可生,为各大运营商及银行金融企业提供 MySQL 相关技术支持、MySQL 相关课程培训等工作。 本文来源:原创投稿 *爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。 我们时常会遇到的场景: 用银行卡在 ATM 机取款、在 APP 上转账、网购付款等等环节,因密码连续输错一定的次数.
Python自动化运维::技术与最佳实践
11-02
Python自动化运维::技术与最佳实践,最新版,带目录,高清
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 628
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
设备运维、教学直播...浅析远程控制在医疗专网环境下的应用
oray2013的专栏
07-11 326
随着跨院会诊的需求出现,安全高清的远程是为患者提供更加专业和全面的诊断意见的必要条件,医院内网下设备部署向日葵Q2Pro,同时为各类医院科室专家分配向日葵账号,当有远程诊疗需求发生时,医生仅需添加指定设备,即可在手机或电脑上发起远程操作,实时获取患者的检查数据,及时响应任何紧急情况。向日葵的远程系统采用了先进的RSA&AES非对称加密技术和安全协议,确保所有的数据传输都是安全的,其次使用控控接入医院内部的设备终端,使得控控上网,医院内部设备不联网,高度保障了医院内部的数据安全不被未授权访问。
昇腾环境下使用docker部署mindie-service
yuanlulu的博客
07-08 325
MindIE是基于昇腾硬件的运行加速、调试调优、快速迁移部署的高性能深度学习推理框架。它包含了MindIE-Service、MindIE-Torch和MindIE-RT等组件。我主要用MindIE-Service的功能,这个组件对标的是vllm这样的大语言推理框架。
Boost Security with SSH/SFTP Public
q2315702359的博客
07-08 1456
  SocketTools .NET Edition eliminates password vulnerabilities and simplifies access management for secure file transfers and server communication.  SocketTools .NET Edition by Catalyst Development Corp. is a development library designed to simplify adding
docker-compose安装PolarDB-PG数据库
最新发布
wnfff的博客
07-12 199
docker-compose安装PolarDB-PG数据库
【北京迅为】《i.MX8MM嵌入式Linux开发指南》-第一篇 嵌入式Linux入门篇-第二十六章 安装超级终端软件
BeiJingXunWei的博客
07-11 429
USB 转串口,也叫‘U 转串’,可以把没有串口的电脑虚拟一个串口出来,这样就让电脑具备了串口的功能,从而可以使得开发板和 PC 之间通过串口通讯了。(这里需要提醒一下,用户插入的 USB 接口不一样,显示的端口号也会不一样,大家只需要关注‘USB 转串口’插入后,增加的那一个串口号,这个增加的串口号需要大家记住,在超级终端的设置中会用到。首先使用串口线连接到开发板的串口(红色箭头指的地方),串口线的另一端连接U转串口,然后连接到电脑usb口上,连接方式如图所示,图片上连接的串口是调试串口。
子任务:IT运维的精细化管理之道
xxxxaayy的博客
07-11 755
在当今的企业运营中,信息技术已成为支撑业务发展的核心力量。同时提高服务交付速度和质量。随着业务的复杂性和动态性的不断增加,IT运维管理的角色变得愈发关键。然而,面对庞大的IT运维任务和多样化的服务需求,如何确保运维工作的高效性和系统性,成为了IT团队面临的一大挑战。正是在这一需求的驱动下,的概念应运而生,它作为一种将整体运维工作细化为更小、更具体、更易于管理的任务单元的方法,为IT运维团队提供了一种全新的工作模式。
NFS服务器、autofs自动挂载综合实验
ouqisheng的博客
07-11 991
现有主机 node01 和 node02,完成如下需求:1、在 node01 主机上提供 DNS 和 WEB 服务2、dns 服务提供本实验所有主机名解析3、web服务提供 www.rhce.com 虚拟主机4、该虚拟主机的documentroot目录在 /nfs/rhce 目录5、该目录由 node02 主机提供的NFS服务共享6、该目录可以通过autofs服务实现自动挂载7、所有服务应该在重启之后依然可以正常使用。
RedHat运维-Ansible自动化运维基础11-when条件判断
a15735748145a的博客
07-09 845
17. 写一个playbook文件,不使用and关键字,当事实ansible_facts.distribution的值是CentOS,并且ansible_facts.memory_mb.real.free的值大于700时,运行任务,反之不运行;16. 写一个playbook文件,当事实ansible_facts.distribution的值是CentOS,并且ansible_facts.memory_mb.real.free的值大于700时,运行任务,反之不运行;12. 任务名称和任务使用到的模块的后面。
【LLM】三、open-webui+ollama搭建自己的聊天机器人
qq_55068938的博客
07-09 980
前面的文章,我们已经学习了如何在本地搭建并调用自己大模型,今天我们的主要内容是通过open-webui+Ollama来搭建一个聊天机器人的前端页面。
Docker Compose 启动容器例子
exlink2012的专栏
07-12 212
这个例子展示了如何使用 Docker Compose 来设置和管理多容器 Docker 应用。你可以根据需要扩展这个例子,添加更多的服务和配置。
linux运维必会Mysql企业面试题.docx
06-21
linux运维必会Mysql企业面试题.docxlinux运维必会Mysql企业面试题.docxlinux运维必会Mysql企业面试题.docxlinux运维必会Mysql企业面试题.docxlinux运维必会Mysql企业面试题.docxlinux运维必会Mysql企业面试题.docxlinux运维必会Mysql企业面试题.docxlinux运维必会Mysql企业面试题.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

坦笑&&life

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值