Centos7、mysql数据库安全整改

最新推荐文章于 2024-09-13 17:22:11 发布
最新推荐文章于 2024-09-13 17:22:11 发布
阅读量818 收藏 1
点赞数
分类专栏: mysql 文章标签: mysql big data linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoxiangzi520/article/details/120137606
版权

一、操作系统

(1)Linux账户管理重命名默认账户

1.vi /etc/passwd

修改第1行第1个root为新的用户名
各个字段的顺序和含义如下:
注册名:口令:用户标识号:组标识号:用户名:用户主目录:命令解释程序

2.vi /etc/shadow

修改第1行第1个root为新的用户名

每个字段的含义如下:

用户名:加密密码:最后一次修改时间:最小修改时间间隔:密码有效期:密码需要变更前的警告天数:密码过期后的宽限时间:账号失效时间:保留字段

若文件为只读,按【:wq!】 强制保存后离开。

修改后重启服务器。

创建用户:

useradd -d /DATA/ -m test

 -d 指定用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录。

修改test用户的密码:

passwd test  

修改用户所属组:

usermod -g  root test

查看用户信息:

cat /etc/passwd|grep test

(2)密码复杂度策略

chage -l 用户名 查看用户的过期时间。

-m:密码可更改的最小天数。为零时代表任何时候都可以更改密码。

-M:密码保持有效的最大天数。

-w:用户密码到期前,提前收到警告信息的天数。

-E:帐号到期的日期。过了这天,此帐号将不可用。-d:上一次更改的日期。

-i:停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。-l:例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。

chage  -m 0 -M 180 -W 10 test  

设置密码最低有效期0和最高有限期180,提前10天发警报提示。

设置复杂度:

CentOS密码复杂度配置通过/etc/pam.d/system-auth文件中的pam_cracklib.so模块来实现。

首先查看/etc/pam.d/system-auth文件

可以看到当前并没有看到pam_cracklib.so模块

查找资料发现:

pam_pwquality.so是兼容pam_cracklib.so模块的,所以pam_cracklib.so的选项也适用于pam_pwquality.so

pam_cracklib.so支持的部分选项如下:

retry=N:定义登录/修改密码失败时,可以重试的次数

minlen=N:新密码的最小长度

dcredit=N:当N>0时表示新密码中数字出现的最多次数;当N<0时表示新密码中数字出现最少次数;

ucredit=N: 当N>0时表示新密码中大写字母出现的最多次数;当N<0时表示新密码中大写字母出现最少次数;

lcredit=N: 当N>0时表示新密码中小写字母出现的最多次数;当N<0时表示新密码中小写字母出现最少次数;

ocredit=N:当N>0时表示新密码中特殊字符出现的最多次数;当N<0时表示新密码中特殊字符出现最少次数;

maxrepeat=N:拒绝包含多于N个相同连续字符的密码。 默认值为0表示禁用此检查

maxsequence=N:拒绝包含长于N的单调字符序列的密码。默认值为0表示禁用此检查。实例是'12345'或'fedcb'。除非序列只是密码的一小部分,否则大多数此类密码都不会通过简单检查。

enforce_for_root: 如果用户更改密码是root,则模块将在失败检查时返回错误。默认情况下,此选项处于关闭状态,只打印有关失败检查的消息,但root仍可以更改密码。不要求root用户输入旧密码,因此不会执行比较旧密码和新密码的检查

接下来修改system-auth文件,配置密码复杂度策略:

验证生效:

详见:CentOS7密码复杂度配置 - 夜信。 - 博客园 。

(3)登录失败处理策略

详见:centos7下如何设置输入密码三次错误后锁定用户-CentOS-PHP中文网 , linux pam模块篇(1)_pam_tally2模块 – 云原生之路 。

1、限制用户远程登录

vim /etc/pam.d/sshd

#%PAM-1.0 
auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10

2、限制用户从tty登录

vim /etc/pam.d/login
在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的!

auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10

使用ssh工具登录,故意输错密码3次:

此时,用户已经被锁定了,输入正确密码也无法登录。

查看登录失败次数:

pam_tally2 --user test

解锁账号:

pam_tally2 -r -u test

此时输入正确密码就可以成功登录。

(4)安全补丁升级

官方没有发布关于centos操作系统的补丁更新操作系统软件包:yum update 。

(5)日志审计

详见:Linux 设置日志保存半年_huofeige-CSDN博客_linux系统日志保存6个月 。

logrotate是一个日志管理程序,用来把旧的日志文件删除(备份),并创建新的日志文件修改/etc/logrotate.conf 中的
# keep 4 weeks worth of backlogs
rotate 4
改为rotate 12
将/var/log/wtmp {
    monthly
    create 0664 root utmp
    rotate 1 中的1改为3,
}

启:sudo systemctl restart rsyslog 。

(6)病毒查杀

安装杀毒软件ClamAV。

详见:centos7安装杀毒软件ClamAV - 何为实施 - 博客园  。

二、数据库

(1)重命名默认账户

mysql -u root -p

UPDATE mysql.user set user='datacenter' where user='root';

  

 service mysql restart重启数据库后,再用root账号登录则不可用访问了。

表数据能够正确查询,但视图查询报错:

详见:更改数据库权限导致视图不能查询 - 知乎 ,https://blog.csdn.net/michaelwoshi/article/details/104034670 。

这里我将安全性定义由definer设置为invoker。

创建用户:

create user exporter identified by '`1Qazx123_';

用户授权:

grant all privileges on  *.*  to exporter@'%' identified by '`1Qazx123_' with grant option;

删除用户:

drop user datauser@'%';

详见: MySQL用户管理:添加用户、授权、删除用户 - 陈树义 - 博客园  。

(2)密码复杂度策略

查看默认策略配置:

show variables like 'validate_password%';

validate_password_dictionary_file:密码策略文件,策略为STRONG才需要

validate_password_length:密码最少长度

validate_password_mixed_case_count:大小写字符长度,至少1个

validate_password_number_count :数字至少1个

validate_password_special_char_count:特殊字符至少1个。

详见:MySQL密码复杂度与密码过期策略介绍 - 程序员丁先生 - 博客园  。

(3)登录失败处理策略

1.查看插件:

 show variables like '%connection_control%';

上图表示没有安装控制插件。

2.安装MySQL控制插件

install plugin CONNECTION_CONTROL soname 'connection_control.so';

install plugin CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS soname 'connection_control.so';

现在已经可以看到插件了,但属于没有没有配置策略的状态,锁定时间仅为:1000毫秒 = 1秒(失败三次锁定1秒)

3.配置策略MySQL登录失败锁定策略。

vim /etc/my.cnf

connection-control-failed-connections-threshold=3

connection-control-min-connection-delay=1800000            (30分钟)

4.重启mysql。

show variables like '%connection_control%';

5.验证

添加完策略后,在输入错误口令第4次时输入框的位置卡住不动了,强制退出输入正确口令依然卡住无法登录。

详见:MySQL数据库登录失败锁定策略的设置 - 海龙。 - 博客园 。

(4)限制访问策略

指定的管理终端或应用、接口服务器的ip限制访问策略。

数据库mysql中的user表datacenter的原始数据如下:

表示只允许mysql服务器连接:mysql -udatacenter -p,输入密码后连接成功。

这条数据的host不做任何修改,否则可能引起服务器端连接失败。此时,客户端任一ip都无法连接数据库。

采用授权的方式指定能连接的ip,可以指定特定ip,也可以指定ip段。

指定ip,如:

mysql> grant all privileges on *.* to datacenter@'192.168.162.35' identified by 'datacenter的密码';

mysql> flush privileges;

指定ip后客户端ip为192.168.100.147无法连接,192.168.162.35能正常连接。

改为ip段:

mysql> grant all privileges on *.* to datacenter@'192.168.%' identified by 'datacenter的密码';

mysql> flush privileges;

此时192.168.100.147可以正常连接。

(5)数据异地备份

备份方法详见:  linux mysql数据库定时备份到远程服务器_FinelyYang的专栏-CSDN博客 。

FinelyYang
关注
专栏目录
mysql失败登录处理策略_CentOS 8.0配置安全策略(用户3次登录失败锁定3分钟)
weixin_39992788的博客
01-27 1194
一、本文主要实现在centos8.0 环境下设置,输入密码错误3次,锁定用户3分钟。二、实验环境centos8.0。rh系统可做参考。centos7配置和centos8不一样,这里不概述。三、说明1、pam_tally2模块在centos8后已淘汰掉,centos8用pam_faillock 模块替换。2、设置的是密码错误3次就锁住3分钟,不管3次是不是连续输入,只要在一段时间内错误3次就锁住(系...
Centos7系统安全漏洞及修复方案
热门推荐
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
mysql的加密总结
11-09 1万+
如果数据库保存了敏感的数据,如银行卡密码,客户信息等,你可能想将这些数据以加密的形式保存在数据库中。这样即使有人进入了你的数据库,并看到了这些数据,也很难获得其中的真实信息。   在应用程序的大量信息中,也许你只想交很小的一部分进行加密,如用户的密码等。这些密码不应该以明文的形式保存,它们应该以加密的形式保存在数据库中。一般情况下,大多数系统,这其中包括MySQL本身都是使用哈希算法对敏感数据进行
等保测评-MySQL数据库整改
最新发布
m0_54146694的博客
09-13 1325
锁定时间(毫秒):set global connection_control_min_connection_delay=1800000;4、授予用户权限:GRANT ALL PRIVILEGES ON database_name.* TO '用户名'@'连接方式';修改用户密码:ALTER USER '用户名'@'登录方式' IDENTIFIED BY '用户新密码';2、新建用户:CREATE USER '用户名'@'连接方式' IDENTIFIED BY '用户密码';查看SSL状态,已关闭。
centos下mysql基本安全设置_CentOS服务器下mysql安全设置
weixin_36403128的博客
02-01 193
以上SQL是创建一个数据库db1,同时增加了一个test1用户,口令是admindb,但是它只能从本地连接mysql,对db1库有select,insert,update,delete,create,drop操作权限。7、限制一般用户浏览其他用户数据库如果有多个数据库,每个数据库有一个用户,那么必须限制用户浏览其他数据库内容,可以在启动MySQL服务器时加–skip-show-database 启...
Centos mysql安全策略之开启定时备份
const_qiu的专栏
03-26 143
Centos mysql安全策略之开启定时备份 何为:增加服务器本地数据安全,防备因突发原因导致数据丢失后全部丢失 Step1. centos安装cron (1)vixie-cron 软件包是 cron 的主程序; (2)crontabs 软件包是用来安装、卸装、或列举用来驱动 cron 守护进程的表格的程序。 yum install vixie-cron yum install crontabs Step2. 启动管理查看相关命令 service crond start //启动服务 servi
Centos yum 安装 mysql8以及安全策略
Zsd
12-07 145
需求 Centos yum 安装 mysql8 需要用到的命令 内容 wget http://dev.mysql.com/get/mysql80-community-release-el8-1.noarch.rpm yum -y install mysql80-community-release-el8-1.noarch.rpm yum module disable mysql yum install mysql-community-server systemctl status mysqld.s
linux基线检查、基线加固、安全漏扫、系统漏洞、centos7、文尾部附脚本
swindy博客
12-06 5132
等保三级-CentOS Linux 7合规基线检查 风险分类:系统-等保三级-CentOS Linux 7合规基线检查 检测项说明: CentOS Linux 7合规基线检查,对标中国等保2.0第三级等级保护基本要求部分检查项目,仅供参考 检查项目 : 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 加固建议: 1、执行`cat /etc/shadow | awk -F: '($2 == "" ) { print $1}' `, 查看空密码账户并处理; 2、
Centos7,漫谈MySQL权限安全
m0_60721695的博客
03-14 955
5.配置hacluster账户密码安装软件包的时候会自动创建一个hacluster账户,它的密码是禁用的。这个用户用于群集间通信的身份验证必须在每个节点上设置密码以启用此账户。6.集群及Pacemaker配置文件群集的创建1认证组成集群的节点2配置和同步集群节点3在集群节点中启动集群服务1认证组成集群的节点在任意一个节点上验证所有的节点使用前面设置的hacluster账户注意iptables规则。
MySQL 出现long semaphore wait 导致数据库hang住无法提供服务
快速成长
01-02 1325
上面描述信息可能会有些发散,但我们归纳一下,基本上是有很多信息来自于锁:mutex 或者lock相关,也就是说MySQL在发生问题的时候产生了大量锁信息,有什么异常导致了MySQL内部产生锁导致。
centos7 mysql数据库安装
g5703129的博客
09-05 133
mysql安装 #yum install mysql #yum install mysql-server #yum install mysql-devel 安装mysqlmysql-devel都成功, 但是安装mysql-server失败,如下: 失败原因是 CentOS 7 版本将MySQL数据库软件从默认的程序列表中移除,用mariadb代替了。 解决方法 官网下载...
linux mysql 安全策略,MySQL数据库用户安全策略介绍
weixin_35398679的博客
05-03 252
安装mysql数据库后,默认的管理员root密码为空,这很不安全,,因此需要设置一个密码,其实在安装mysql后,已经做了一些安全措施,例如:1. 为root设置比较复杂的密码。2. 删除无用的mysql库内的用户账号,只留:root localhost。3. 删除默认存在的test数据库。4. 增加用户的时候,尽量授权的权限最小,允许访问的主机范围更小。除了上面的方法,针对mysql数据库的用户...
centos下mysql基本安全设置
comeoncomputer的专栏
11-30 682
参考地址:http://www.ggat.cn/newsInfo.html/131 设置或修改mysql root密码: 复制 update mysql.user set password=password('password') where user='root';flush privileges; 删除默认的演示数据库和用户: 复制 drop database test
CentOS下MySql优化及安全设置centos
dyg7777的专栏
05-14 192
打开/etc/my.cnf文件,修改以下设置,如果没有,可手动添加。调整设置时,请量力而行,这与你的服务器的配置有关,特别是内存大小。以下设置比较适合于1G内存的服务器,但并不绝对。 #指定索引缓冲区的大小,它决定索引处理的速度,尤其是索引读的速度。通过检查状态值Key_read_requests和Key_reads,可以知道key_buffer_size设置是否合理。比例key_reads / key_read_requests应该尽可能的低,至少是1:100,1:1000更好(上述状态值可以使用sho.
Cnetos7安装Mysql5.7并设置修改安全策略与开启远程权限
weixin_43787305的博客
11-19 620
查看Centos是否安装mysql rpm -qa | grep MySQL #如果什么也没提示就代表没装,如果提示了就卸载 yum -y remove *** #系统名 Mysql5.7 rpm包—阿里云 进入rpm包的文件 rpm -ivh mysql* --force --nodeps 启动MySQL: systemctl start mysqld.service #启动 systemctl enable mysqld.service #开机自启 配置MySQL用户名密码 grep 'temp
MYSQL8安全之审计管理
Innocence_0的博客
06-03 2139
审计概念一、MYSQL8开源审计mysql-audit0、下载解压插件1、查看mysql的插件位置2、上传库文件到插件目录3. 修改my.cnf4、安装插件5、查看mysql-audit日志安装插件报错二、MYSQL自带的init-connect+binlog实现mysql审计。
三级等保 mysql8.0.24密码策略设置
xzhongb的博客
01-21 1191
三级等保 MySQL8.0.24密码策略设置
Centos7 安装Mysql数据库(转载)
小卧底的博客
12-13 142
Centos7安装Mysql数据库的流程 前提说明 CentOS 7 版本将MySQL数据库软件从默认的程序列表中移除,用MariaDB代替了,MariaDB数据库管理系统是MySQL的一个分支,主要由开源社区在维护,采用GPL授权许可。开发这个分支的原因之一是:甲骨文公司收购了MySQL后,有将MySQL闭源的潜在风险,因此社区采用分支的方式来避开这个风险。MariaDB的目的是完全兼容MySQL,包括API和命令行,使之能轻松成为MySQL的代替品。 个人理解:其实MariaDB 就相当于mysql-
centos 7 mysql 路径,(centos)linux如何修改mysql默认数据库存放路径地址? 电脑维修技术网...
weixin_35860804的博客
03-12 390
演示系统及使用工具演示系统:centos6.2使用工具:Xshell 4centos修改mysql数据库路径步骤第1步:使用第三方软件SSH成功登录到centos系统。第2步:首先先停止掉mysql服务,在终端中执行“/etc/init.d/mysql stop”并回车确定。如果提示“Shutting down MySQL. SUCCESS!”就说明已经成功停止了mysql服务了。第3步:修改my...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值