Centos7、mysql数据库安全整改

最新推荐文章于 2022-12-22 15:34:29 发布
最新推荐文章于 2022-12-22 15:34:29 发布
阅读量725 收藏 1
点赞数
分类专栏: mysql 文章标签: mysql big data linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoxiangzi520/article/details/120137606
版权

一、操作系统

(1)Linux账户管理重命名默认账户

1.vi /etc/passwd

修改第1行第1个root为新的用户名
各个字段的顺序和含义如下:
注册名:口令:用户标识号:组标识号:用户名:用户主目录:命令解释程序

2.vi /etc/shadow

修改第1行第1个root为新的用户名

每个字段的含义如下:

用户名:加密密码:最后一次修改时间:最小修改时间间隔:密码有效期:密码需要变更前的警告天数:密码过期后的宽限时间:账号失效时间:保留字段

若文件为只读,按【:wq!】 强制保存后离开。

修改后重启服务器。

创建用户:

useradd -d /DATA/ -m test

 -d 指定用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录。

修改test用户的密码:

passwd test  

修改用户所属组:

usermod -g  root test

查看用户信息:

cat /etc/passwd|grep test

(2)密码复杂度策略

chage -l 用户名 查看用户的过期时间。

-m:密码可更改的最小天数。为零时代表任何时候都可以更改密码。

-M:密码保持有效的最大天数。

-w:用户密码到期前,提前收到警告信息的天数。

-E:帐号到期的日期。过了这天,此帐号将不可用。-d:上一次更改的日期。

-i:停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。-l:例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。

chage  -m 0 -M 180 -W 10 test  

设置密码最低有效期0和最高有限期180,提前10天发警报提示。

设置复杂度:

CentOS密码复杂度配置通过/etc/pam.d/system-auth文件中的pam_cracklib.so模块来实现。

首先查看/etc/pam.d/system-auth文件

可以看到当前并没有看到pam_cracklib.so模块

查找资料发现:

pam_pwquality.so是兼容pam_cracklib.so模块的,所以pam_cracklib.so的选项也适用于pam_pwquality.so

pam_cracklib.so支持的部分选项如下:

retry=N:定义登录/修改密码失败时,可以重试的次数

minlen=N:新密码的最小长度

dcredit=N:当N>0时表示新密码中数字出现的最多次数;当N<0时表示新密码中数字出现最少次数;

ucredit=N: 当N>0时表示新密码中大写字母出现的最多次数;当N<0时表示新密码中大写字母出现最少次数;

lcredit=N: 当N>0时表示新密码中小写字母出现的最多次数;当N<0时表示新密码中小写字母出现最少次数;

ocredit=N:当N>0时表示新密码中特殊字符出现的最多次数;当N<0时表示新密码中特殊字符出现最少次数;

maxrepeat=N:拒绝包含多于N个相同连续字符的密码。 默认值为0表示禁用此检查

maxsequence=N:拒绝包含长于N的单调字符序列的密码。默认值为0表示禁用此检查。实例是'12345'或'fedcb'。除非序列只是密码的一小部分,否则大多数此类密码都不会通过简单检查。

enforce_for_root: 如果用户更改密码是root,则模块将在失败检查时返回错误。默认情况下,此选项处于关闭状态,只打印有关失败检查的消息,但root仍可以更改密码。不要求root用户输入旧密码,因此不会执行比较旧密码和新密码的检查

接下来修改system-auth文件,配置密码复杂度策略:

验证生效:

详见:CentOS7密码复杂度配置 - 夜信。 - 博客园 。

(3)登录失败处理策略

详见:centos7下如何设置输入密码三次错误后锁定用户-CentOS-PHP中文网 , linux pam模块篇(1)_pam_tally2模块 – 云原生之路 。

1、限制用户远程登录

vim /etc/pam.d/sshd

#%PAM-1.0 
auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10

2、限制用户从tty登录

vim /etc/pam.d/login
在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的!

auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10

使用ssh工具登录,故意输错密码3次:

此时,用户已经被锁定了,输入正确密码也无法登录。

查看登录失败次数:

pam_tally2 --user test

解锁账号:

pam_tally2 -r -u test

此时输入正确密码就可以成功登录。

(4)安全补丁升级

官方没有发布关于centos操作系统的补丁更新操作系统软件包:yum update 。

(5)日志审计

详见:Linux 设置日志保存半年_huofeige-CSDN博客_linux系统日志保存6个月 。

logrotate是一个日志管理程序,用来把旧的日志文件删除(备份),并创建新的日志文件修改/etc/logrotate.conf 中的
# keep 4 weeks worth of backlogs
rotate 4
改为rotate 12
将/var/log/wtmp {
    monthly
    create 0664 root utmp
    rotate 1 中的1改为3,
}

启:sudo systemctl restart rsyslog 。

(6)病毒查杀

安装杀毒软件ClamAV。

详见:centos7安装杀毒软件ClamAV - 何为实施 - 博客园  。

二、数据库

(1)重命名默认账户

mysql -u root -p

UPDATE mysql.user set user='datacenter' where user='root';

  

 service mysql restart重启数据库后,再用root账号登录则不可用访问了。

表数据能够正确查询,但视图查询报错:

详见:更改数据库权限导致视图不能查询 - 知乎 ,https://blog.csdn.net/michaelwoshi/article/details/104034670 。

这里我将安全性定义由definer设置为invoker。

创建用户:

create user exporter identified by '`1Qazx123_';

用户授权:

grant all privileges on  *.*  to exporter@'%' identified by '`1Qazx123_' with grant option;

删除用户:

drop user datauser@'%';

详见: MySQL用户管理:添加用户、授权、删除用户 - 陈树义 - 博客园  。

(2)密码复杂度策略

查看默认策略配置:

show variables like 'validate_password%';

validate_password_dictionary_file:密码策略文件,策略为STRONG才需要

validate_password_length:密码最少长度

validate_password_mixed_case_count:大小写字符长度,至少1个

validate_password_number_count :数字至少1个

validate_password_special_char_count:特殊字符至少1个。

详见:MySQL密码复杂度与密码过期策略介绍 - 程序员丁先生 - 博客园  。

(3)登录失败处理策略

1.查看插件:

 show variables like '%connection_control%';

上图表示没有安装控制插件。

2.安装MySQL控制插件

install plugin CONNECTION_CONTROL soname 'connection_control.so';

install plugin CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS soname 'connection_control.so';

现在已经可以看到插件了,但属于没有没有配置策略的状态,锁定时间仅为:1000毫秒 = 1秒(失败三次锁定1秒)

3.配置策略MySQL登录失败锁定策略。

vim /etc/my.cnf

connection-control-failed-connections-threshold=3

connection-control-min-connection-delay=1800000            (30分钟)

4.重启mysql。

show variables like '%connection_control%';

5.验证

添加完策略后,在输入错误口令第4次时输入框的位置卡住不动了,强制退出输入正确口令依然卡住无法登录。

详见:MySQL数据库登录失败锁定策略的设置 - 海龙。 - 博客园 。

(4)限制访问策略

指定的管理终端或应用、接口服务器的ip限制访问策略。

数据库mysql中的user表datacenter的原始数据如下:

表示只允许mysql服务器连接:mysql -udatacenter -p,输入密码后连接成功。

这条数据的host不做任何修改,否则可能引起服务器端连接失败。此时,客户端任一ip都无法连接数据库。

采用授权的方式指定能连接的ip,可以指定特定ip,也可以指定ip段。

指定ip,如:

mysql> grant all privileges on *.* to datacenter@'192.168.162.35' identified by 'datacenter的密码';

mysql> flush privileges;

指定ip后客户端ip为192.168.100.147无法连接,192.168.162.35能正常连接。

改为ip段:

mysql> grant all privileges on *.* to datacenter@'192.168.%' identified by 'datacenter的密码';

mysql> flush privileges;

此时192.168.100.147可以正常连接。

(5)数据异地备份

备份方法详见:  linux mysql数据库定时备份到远程服务器_FinelyYang的专栏-CSDN博客 。

FinelyYang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CentOS7环境mysql小版本升级步骤
10-28
CentOS7环境mysql小版本升级步骤,本文介绍的是替换二进制文件升级方式的升级步骤,步骤展示的是5.7.26升级至5.7.31的升级步骤,操作系统为centos7.4。
CentOS7 安装 MySQL 数据库
04-12
现在项目的部署运行大多数都是基于Linux环境的,而CentOS系统是目前服务器上使用最多的,mysql也是使用最普遍的数据库。 文档是基于CentOS7 操作系统下安装关系型数据库MySQL5.7 从安装文件下载,到安装步骤,一步一截图,完全保姆级教程,没有任何废话,不啰嗦简单明了,只要按照步骤执行大部分人都可以轻松完成安装。 有一个前提需要对于centos7有一定的熟悉,了解常规的Linux命令。 如果是学习的话可以首先在虚拟机上安装测试一下。
java多线程读写mysql_Java mysql数据库多线程读写问题,谢谢!
weixin_31693025的博客
01-19 641
设置max_execution_time 来阻止太长的读SQL。那可能存在的问题是会把所有长SQL都给KILL 掉。有些必须要执行很长时间的也会被误杀。自己写个脚本检测这类语句,比如order by rand(), 超过一定时间用Kill query thread_id 给杀掉。那能不能不要杀掉而让他正常运行,但是又不影响其他的请求呢?那mysql 8.0 引入的资源组(resource grou...
linux mysql 打补丁_一步到位Linux中安装配置MySQL及补坑
weixin_34275305的博客
01-19 2813
Windows上安装MySQL也就不讲了,基本上一路点击下一步就可完成,现在讲讲Linux上布署Mysql,虽然也有很多网友列出了详细的步骤,可能是因为版本过老的问题导致即使按照上面一步步来也还是出现不少问题,所以在此列出以作防坑指南。至于Mysql是什么,能做什么那就不用介绍了,主要讲安装。环境CentOS7.0Mysql-5.7.17用root用户安装关闭防火墙或让涉及到的端口通过。-A IN...
mysql失败登录处理策略_CentOS 8.0配置安全策略(用户3次登录失败锁定3分钟)
weixin_39992788的博客
01-27 1086
一、本文主要实现在centos8.0 环境下设置,输入密码错误3次,锁定用户3分钟。二、实验环境centos8.0。rh系统可做参考。centos7配置和centos8不一样,这里不概述。三、说明1、pam_tally2模块在centos8后已淘汰掉,centos8用pam_faillock 模块替换。2、设置的是密码错误3次就锁住3分钟,不管3次是不是连续输入,只要在一段时间内错误3次就锁住(系...
mysql数据库连接过多的错误,可能的原因分析及解决办法(转)
08-16 846
mysql数据库连接过多的错误,可能的原因分析及解决办法(转)[@more@]系统不能连接数据库,关键要看两个数据: 1、数据库系统允许的最大可连接数max_connections。这个参数是可以设置的。如果不设置,默认是100...
解决Linux服务器centos系统与MySQL连接失败相关问题
A15130402745的博客
12-22 2696
解决centos系统中已安装mysql但是外网无法连接的问题
linux mysql连接太多_轻松解决MySQL数据库连接过多的错误
weixin_33831535的博客
01-19 561
1、MySQL数据库系统允许的最大可连接数max_connections。这个参数是可以设置的。如果不设置,默认是100。最大是16384。2、数据库当前的连接线程数threads_connected。这是动态变化的。查看max_connections、max_connections的办法见后。如果 threads_connected == max_connections 时,数据库系统就不能提供...
mysql的加密总结
热门推荐
11-09 1万+
如果数据库保存了敏感的数据,如银行卡密码,客户信息等,你可能想将这些数据以加密的形式保存在数据库中。这样即使有人进入了你的数据库,并看到了这些数据,也很难获得其中的真实信息。   在应用程序的大量信息中,也许你只想交很小的一部分进行加密,如用户的密码等。这些密码不应该以明文的形式保存,它们应该以加密的形式保存在数据库中。一般情况下,大多数系统,这其中包括MySQL本身都是使用哈希算法对敏感数据进行
mysql设置登录失败锁定账户及数据库定时备份
changhe的博客
12-16 5304
目标 设置mysql数据库连续登录失败X次锁定X分钟。 通过定时任务自动备份数据库,只保留最近三天的备份。 一、设置登录失败处理 二、备份数据库
centOS7安装MySQL数据库
01-21
1、先检测系统是否自带原有版本mysql安装包,如果有要先卸载删除,不然不能成功安装和启动; # rpm -qa|grep mysql 查看有哪些安装包,如果直接跳过,说明没有安装包,记忆可以直接进入第2、3 # yum remove mysql ...
centos7 mysql数据库安装和配置
09-09
本篇文章主要介绍了centos7 mysql数据库安装和配置 ,非常具有实用价值,希望对大家实用mysql能够有所帮助
Centos7安装mysql数据库.docx
03-13
Centos7安装mysql数据库.docx
Centos7 mysql数据库安装及配置实现教程
09-08
主要介绍了Centos7 mysql数据库安装及配置实现教程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
centos7安装mysql自动补全工具mycli过程时候遇到的问题和解决办法
qq_23587541的博客
12-12 471
什么是mycli  MyCli 是一个 MySQL 命令行工具,支持自动补全和语法高亮。也可用于 MariaDB 和 Percona。在linux中自动补全。(mysql有自带的自动补全功能,编辑/etc/my.cnf,注释[mysql]下的no-auto-rehash,新加auto-rehash,但是mariadb没有这个功能,所以安装mycli)。 安装 按官方说明(https://ww...
Centos7 安装MySQL 5.7.34 (含补包)
weixin_44753691的博客
06-22 686
Centos7 安装MySQL 5.7.34 (含补包) 1. 下载安装文件 wget https://cdn.mysql.com//Downloads/MySQL-5.7/mysql-5.7.34-1.el7.x86_64.rpm-bundle.tar 2. 解归档到指定文件夹 mkdir mysql tar -xf mysql-5.7.34-1.el7.x86_64.rpm-bundle.tar -C mysql cd mysql 3. 卸载MariaDB的库文件 yum erase -y mari
mysql补丁如何安装_软件安装步骤
weixin_39563420的博客
12-05 2812
java安装:打开安装包,安装java(无需更改设置,只需要一直默认点击下一步),设置环境变量:鼠标右键我的电脑-->属性-->高级系统设置-->环境变量-->系统变量-->PATH-->将C:Program FilesJavajdk1.8.0_201bin 和 C:Program FilesJavajdk1.8.0_201jrebin 添加入环境变量,打开cm...
centos mysql upgrade_CentOS下简单的MySQL数据库操作
weixin_35891825的博客
01-26 192
1.登录成功之后退出的话,直接输入quit或者exit即可。2.使用.tar.gz的包安装MySQL时,进入MySQL需要使用绝对路径[root@winner ~]# /usr/local/mysql/bin/mysql -uroot单独只是输入一个"mysql" 命令是不行的,因为"/usr/local/mysql/bin" 没有在 PATH 这个环境变量里(使用yum安装不需要)。如何把它加入...
Centos mysql安全策略之开启定时备份
const_qiu的专栏
03-26 125
Centos mysql安全策略之开启定时备份 何为:增加服务器本地数据安全,防备因突发原因导致数据丢失后全部丢失 Step1. centos安装cron (1)vixie-cron 软件包是 cron 的主程序; (2)crontabs 软件包是用来安装、卸装、或列举用来驱动 cron 守护进程的表格的程序。 yum install vixie-cron yum install crontabs Step2. 启动管理查看相关命令 service crond start //启动服务 servi
centos7MySQL数据库创建表
最新发布
07-27
CentOS 7 上创建 MySQL 数据库表,您可以按照以下步骤进行操作: 1. 确保已经安装并启动了 MySQL 服务。如果没有安装,可以使用以下命令进行安装: ``` sudo yum install mysql-server ``` 2. 连接到 MySQL 服务器。在终端中输入以下命令,并按照提示输入密码: ``` mysql -u root -p ``` 3. 创建一个新的数据库。例如,创建名为 "mydatabase" 的数据库: ``` CREATE DATABASE mydatabase; ``` 4. 切换到新创建的数据库: ``` USE mydatabase; ``` 5. 创建表。以下是一个示例,创建名为 "mytable" 的表并定义列及其数据类型: ``` CREATE TABLE mytable ( id INT AUTO_INCREMENT PRIMARY KEY, name VARCHAR(50), age INT, email VARCHAR(100) ); ``` 在这个示例中,我们创建了一个带有自增主键 "id"、姓名 "name"、年龄 "age" 和电子邮件 "email" 的表。 6. 确认表是否创建成功。可以使用以下命令查看数据库中的所有表: ``` SHOW TABLES; ``` 您应该能看到刚刚创建的 "mytable" 表的名称。 这样,您就成功在 CentOS 7 上创建了一个 MySQL 数据库表。您可以根据需要修改表的列及其数据类型。请注意,这只是一个简单的示例,实际应用中可能需要更复杂的表结构和约束。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值