MySQL 操作系统加固配置

最新推荐文章于 2023-09-08 09:07:57 发布
最新推荐文章于 2023-09-08 09:07:57 发布
阅读量797 收藏 3
点赞数
分类专栏: 中间件 文章标签: 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxx0028/article/details/104956039
版权

目录

进入MySQL数据库:

命令:mysql -u root -p

账号

以普通账户安全运行mysqld,禁止mysql以管理员账号权限运行
操作指南
  • 参考配置操作
    Unix 下以通过在/etc/my.cnf中设置:

[mysql.server]
user=mysql

vim /etc/my.cnf
在这里插入图片描述

  • 补充操作说明
    计算机入侵数据库是非常危险的,因此必须要用普通用户登录数据库,来进行操作,因此有必要对一些主机操作权限
    如下图所示:授权给部分主机权限
    在这里插入图片描述
检查方法
  • 判定条件

各种操作系统下以管理员权限运行。
Unix 下禁止以 root 账号运行 mysqld;

  • 检测操作

检查进程属主和运行参数是否包含–user=mysql类似语句:

#ps -ef | grep mysqld
#grep -i user /etc/my.cnf

这两行命令自己下去敲去,看是否包含-user=mysql类似语句。

应按照用户分配账号,避免不同用户间共享账号
操作指南
  • 参考配置操作

//创建用户,并指定特定用户,特定IP登录数据库
create user xxx@‘指定ip地址’ identified by ‘asyaxy’;
这样就创建了一个名为xxx的用户,密码为asyaxy,然后登录。
登录:mysql -u xxx -p asyaxy -h 192.168.2.114

mysql> mysql> insert into
mysql.user(Host,User,Password,ssl_cipher,x509_issuer,x509_subject)values(“localhost”,“pppadmin”,password(“passwd”),",",");
这样就创建了一个名为:phplamp密码为:1234的用户。

//然后登录一下。

mysql>exit;

@>mysql -u phplamp -p
@>输入密码
mysql>登录成功

  • 补充操作说明
    具体操作跟着上面那些命令敲一下即可
检测方法

  • 判定条件
    不用名称的用户可以连接数据库

  • 检测操作
    使用不同用户连接数据库

应删除或锁定与数据库运行、维护等工作无关的账号
操作指南
  • 参考配置操作

DROP USER 语句用于删除一个或多个MySQL账户。要使用 DROP USER,必须拥有mysql 数据库的全局 CREATEUSER 权限或 DELETE 权限。
账户名称的用户和主机部分与用户表记录的User和Host列值相对应。
使用 DROPUSER,您可以取消一个账户和其权限,操作如下: DROP USER user;
该语句可以删除来自所有授权表的帐户权限记录。

先对账户进行筛选,找出无用账户,并删除
查看筛选:select user , host , password from mysql.user;
删除用户:drop user ‘’@‘mysql’, ‘’@‘localhosy’, ‘root’@’::1’,‘root’@‘mysql’;
再次查看是否删除成功

  • 补充操作说明

要点:
DROP USER 不能自动关闭任何打开的用户对话。而且,如果用户有打开的对话,此时取消用户,则命令不会生效,直到用户对话被关闭后才生效。一旦对话被关闭,用户也被取消,此用户再次试图登录时将会失败。

检测方法
  • 检测操作:

mysql 查看所有用户的语句
输入指令
select user();
select user ,host ,password from mysql.user;
依次检查所列出的账户是否为必要账户,删除无用户或过期账户。
在这里插入图片描述
注:无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上不用)等

口令

检查帐户默认密码和弱密码
操作指南
  • 参考配置操作
    修改帐户弱密码
    如要修改密码,执行如下命令:

在这里插入图片描述

mysql> update user set password=password(test!p3’) where user=root’;
mysql> flush privileges;

  • 补充操作说明、
检测方法

  • 判定条件
    密码长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。
    四分之三原则

  • 检测操作
    检查本地密码:(注意,管理帐号 root 默认是空密码)

mysql> use mysql;
mysql> select Host,User,Password,Select_priv,Grant_priv from user;

授权

在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
操作指南

  • 参考配置操作
    合理设置用户权限,撤销危险授权

  • 补充操作说明

检测方法
  • 判定条件
    确保数据库没有不必要的或危险的授权
  • 检测操作
    查看数据库授权情况:
    SHOW GRANTS FOR ; ‘xxx’@‘localhost’
    授权并创建用户,给定密码:
    grant 权限 on 权限范围 to 用户 identified by ‘密码’
    移除访问权:
    REVOKE SELECT ON 库名. 表名 FROM ‘xxx’@‘localhost’;
    FLUSH PRIVILEGES;

mysql> use mysql;
mysql> select * from user;
mysql> select * from db;
mysql> select * from host;
mysql> select *from tables_priv;
mysql>select * from columns_priv;

回收不必要的或危险的授权,可以执行revoke命令:

mysql> help revoke
Name: ‘REVOKE’
Description:
Syntax:
REVOKE
priv_type [(column_list)]
[priv_type[(column_list)]]…
ON [object_type]
{
*
| .
| db_name.*
| db_name.tbl_name
| tbl_name
| db_name.routine_name

            } 
    FROM user [,user]...

日志

数据库应配置日志功能
操作指南

mysql 有以下几种日志:

错误日志: -log-err
查询日志: -log (可选)
慢查询日志:-log-slow-queries (可选)
更新日志:-log-update
二进制日志: -log-bin

在mysql 的安装目录下,打开my.ini,在后面加上上面的参数,保存后重启 mysql 服务就行了。

例如:
#Enter a name for the binary log. Otherwise a default name will be used.
#log-bin=
#Enter a name for the query log file.Otherwise a default name will be used.
#log=
#Enter a name for the error log file.Otherwise a default name will be used.
log-error=
#Enter a name for the update log file. Otherwise a de fault name will be used.
#log-update=
上面只开启了错误日志,要开其他的日志就把前面的“#”去掉

  • 补充操作说明
    1、show variables like ‘log_%’;查看所有的log命令
    2、show variables like ‘log_bin’;查看具体的log命令
检测方法

  • 判定条件
    启用审核记录对数据库的操作,便于日后检查

  • 检测操作
    打开/etc/my.cnf文件,查看是否包含如下设置(没有加上就行):

[mysqld]
log = filename

补丁

系统安装了最新的安全补丁 (注:在保证业务及网络安全的前提下,经过兼容性测试后)
操作指南

  • 参考配置操作
    下载并安装最新mysql安全补丁

  • 补充操作说明
    安全答报和补丁下载网址是htp://www.mysql.com

检测方法
  • 判定条件
    确保数据库为企业版,并且安装了最新安全补丁。如果是不安全的社区版,建议替换为企业版(收费)
  • 检测操作
    使用如下命令查看当前补丁版本:

mysql> SELECT VERSION();

网络连接

禁止网络连接,防止猜解密码攻击,溢出攻击和嗅探攻击。(仅限于应用和数据库在同一台主机的情况)
操作指南
  • 参考配置操作
    如果数据库不需远程访问,可以禁止远程tcp/ip连接,通过在mysqld 服务器中参数中添加 --skip-networking 启动参数来使mysql 不监听任何TCP/IP连接,增加安全性。
    强迫MySQL仅监听本机,方法是在my.cnf的[mysqld]部分增加下面一行:
    bind-address=127.0.0.1
  • 补充操作说明
检测方法
  • 判定条件

远程无法连接

  • 检测操作

#cat /etc/my.cnf
#ps -ef | grep -i mysql

或从客户机远程 telnet mysqlserver 3306

可信IP地址访问控制

通过数据库所在操作系统或防火墙限制,只有信任的IP地址才能通过监听器访问数据库。
操作指南

  • 参考配置操作
    执行命令:mysql> GRANT ALL PRIVILEGES ON db.*
    一> 一> TO 用户名@’IP子网/掩码’;
    只有通过指定 IP地址段的用户才可以登录

  • 补充操作说明

检测方法

  • 判定条件
    在非信任的客户端以数据库账户登陆被提示拒绝。

  • 检测操作
    用户从其它子网登录,将被拒绝

禁止非授权用户访问本地文件

禁用”LOAD DATA LOCAL INFILE”命令
以防止sql注入

  • 在某些情况下,LOCAL INFILE命令可被用于访问操作系统上的其它文件(如/etc/passwd),应使用下现的命令:
    mysql> SELECT load_file("/etc/passwd")
  • 为禁用LOCAL INFILE命令,应当在MySQL的/etc/my.cnf的配置文件的[mysqld]部分增加下面的参数:
    set-variable=local-infile=0

连接数设置

根据机器性能和业务需求,设制最大最小连接数。
操作指南
  • 参考配置操作
    编辑 MySQL 配置文件:my.cnf 或者是 my.ini
    在[mysqld]配置段添加:
    max_connections=1000
    保存,重启MySQL 服务。
检测方法
  • 检测操作
    用命令:SHOW [FULL] PROCESSLIST 显示哪些线程正在运行
    mysql admin -uroot -p variables
    输入 root 数据库账号的密码后可看到
    |max connections | 1000 |

在这里插入图片描述

xxx0028
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux操作系统安装后完成的安全加固配置
03-11
常规系统增强与配置变更 1. 无论服务器有多少个网卡,第一个网卡必须为内网网段(管理网络、内部数据网络、存储网络),并且支持PXE启动,第一个网卡名字eth0 2. IP地址与MAC绑定并且DHCP分配的地址与静态设置一致,安装完成自动生成静态IP配置文件 3. 初始安装是安全的不必担心来自网络的入侵。 4. 所有服务只监听内网地址的端口,禁止监听0.0.0.0,仅有对外提供的服务可以监听外网IP 内部服务: sshd ntpd dns-cacher zabbix mysql-server redis memcache 5. 默认用户hmuser使用32位字串复杂密码,可以sudo至root 6. Root用户内置ansible控制端公钥可以直接root登录,Sshd服务端 禁止root密码登录 使用公钥或者普通用户登录后su或者sudo 禁止dns,Ssh客户端开启持久连接,加密算法使用椭圆曲线ecdsa 7. dns解析,时间同步,日志记录使用内网服务器
Linux Ubuntu系统iptables防火墙配置
11-11
为了确保服务器安全,防止未经授权的或恶意的访问、攻击,同时避免暴露服务器端口,提升系统及数据库稳定性、加强、加固服务器安全;因此需要配置防火墙规则,避免非法访问和未经许可的探测。 操作系统:Ubuntu 16.04 LTS 数据库:Mysql 8.0.22 Web组件:Apache Tomcat/8.0.0-RC1 防火墙版本:iptables v1.6.0 实施目标:服务器本机及指定主机可访问服务器端口资源,其它主机只能访问公开的HTTP端口,无法探测及访问数据库等不开放端口,避免漏洞报告等不停更新的烦恼。
以普通权限运行MySQL的操作说明
04-13
如果是 system 用户在运行 MySQL ,这个是非常危险的,一旦Mysql 出现漏洞,或被其他模式提权,直接就是 system 权限。对 MySQL进行降权,用普通权限运行假设(1)mysql安装在 d:\mysql 目录(2)运行时用户名为 mysqluser
童装英文外贸网站系统-PHP
06-25
童装英文外贸网站系统特点: 1、具备传统企业网站基本、高级用户交互功能;(关于我们、产品中心、新闻动态、帮助中心、在线留言、联系我们); 2、网站系统同时带响应式模板 3、后台有广告管理可以更新前台广告图 4、缩略图和图片水印功能; 5、伪静态和动态, 6、后台模板文件夹管理 7、多语言功能; 童装英文外贸网站系统安装环境要求 操作系统:Linux/Unix/Windows 软件环境:Apache/Nginx/IIS + PHP 5.5~7.1 + MySQL 5.0 及以上 本地电脑推荐使用PHPstudy安装,及安装在合适的网站空间、虚拟主机上。 默认后台 域名/login.php 童装英文外贸网站系统v1.5.5更新日志 1、[安全]进一步加固整站源码的安全性; 2、[新增]腾讯云短信; 3、[新增]文档属性支持自定义配置; 4、[新增]批量取消审核文档的功能; 5、[新增]下载模型的文件服务器名可以快捷设置点选; 6、[新增]权限组增多一项管理员发布文档默认是审核或待审核; 7、[新增]友情链接分组; 8、[新增]支持第二套会员中心模板; 9、[新增]后台皮肤主题色配置; 10、[新增]后台站内通知; 11、[新增]积分管理,提前布局积分逻辑,以便后续扩展; 12、[优化]发布/编辑文档的Tag常用标签选择; 13、[优化]移除后台功能开关入口,更换位左侧菜单的更多功能入口; 14、[优化]文档页的点击数标签可以在内页重复调用显示; 15、[优化]整体后台用户体验与布局; 16、[优化]附件设置新增默认浏览数与下载数的设置; 17、[优化]自定义变量的名称为空时,就不保存入数据库;
非常全的基线配置扫描脚本.zip
04-15
非常全面的基线检查脚本,包括:各类数据库、网络设备、中间件操作系统等,非常全面的基线检查脚本
mysql 安全加固
北城青的博客
09-08 394
PS:之前在做安全测试的时候,报告mysql有安全漏洞,于是研究了下如何修复,于是记录下来分享给大家。
网络安全 数据库 MySQL 安全规范
KHOST的博客
02-18 1182
在生产中,安全是相当重要,毕竟你的核心数据都在里面,MySQL因为其开源的流行性,大量个人,企业,政府单位采用,但是,很多部署的时候采用都是默认的配置,这就导致了安全的相对欠缺,你需要针对你的安全有所加强。 总的来说,数据库一般划分为生产库,压测库,准生产库,测试库,开发库。下面部分主要说的是生产库,但其他库也适用。 1 mysql_secure_installation 这是数据库基础的安...
Linux操作系统安全配置
V13807970340的博客
04-15 3457
在我们Linux系统当中,默认的情况下,所有的系统上的帐号与一般身份使用者,还有root的相关信息, 都是记录在/etc/passwd这个文件内的。vsftpd 是一个 UNIX 类操作系统运行的服务器的名字,它可以运行在诸如 Linux、BSD、Solaris、 HP-UNIX等系统上面,是一个完全免费的、开放源代码的ftp服务器软件,支持很多其他的 FTP 服务器所不支持的特征。UID号为0是为root用户保留的,UID号1到99是为系统用户保留,UID号100-999是为系统账户和群组保留。
网络安全竞赛试题(1)A模块
xingjianqwer的博客
10-08 3363
纯操作!!!
关闭mysql数据库授权_MySQL数据库用户授权管理
weixin_39632698的博客
01-27 339
一、用户授权1、注意事项:- MySQL数据库服务器搭建好之后,放在独立的房间里或者是IDC机房,MySQL数据库服务默认只允许数据库管理员root在本地登录,要在其他客户端登录管理数据库则需要授权才可以。- 程序员(网站运行数据)编程使用数据库都是在客户端,需要授权。- 默认只有数据库管理员在数据库服务器本机登录才有授权权限2、授权库mysql,主要的几个表:- user表:记录用户的信息...
优优博客系统-PHP
06-25
优优博客系统是一款开源的THinkphp5.0 的 Blog系统,其衍生于优秀的内容管理系统 易优cms。 优优 Blog系统秉承了易优CMS的先进设计理念,并且专注于个人博客系统。 易优 Blog系统使用十分便捷,便捷到您只需直接开始博客写作就可以了。  优优博客系统特点: 简单方便 优优博客系统 安装十分方便,只需输入域名,然后再点两次鼠标,期间填入一些必要的安装信息就可以轻松完成整个安装过程。 使用十分便捷,安装后进后台,直接写博客内容就可以了,无需事先进行任何设置操作。 要进行网站设置也十分简单,几分钟就可以完成。 优优博客系统功能介绍: 1、会员系统 2、支付功能 3、标签功能 4、熊掌号提交功能 5、文章发布功能 6、SEO设置功能 7、多语言版(后台一键开启) 8、插件功能 优优博客系统安装环境要求: 操作系统:Linux/Unix/Windows 软件环境:Apache/Nginx/IIS + PHP 5.5~7.1 + MySQL 5.0 及以上 本地电脑推荐使用PHPstudy安装,及安装在合适的网站空间、虚拟主机上。 默认后台 域名/login.php 优优博客系统更新日志: bulid0220 1、[安全]进一步加固整站源码的安全性; 2、[新增]腾讯云短信; 3、[新增]文档属性支持自定义配置; 4、[新增]批量取消审核文档的功能; 5、[新增]下载模型的文件服务器名可以快捷设置点选; 6、[新增]权限组增多一项管理员发布文档默认是审核或待审核; 7、[新增]友情链接分组; 8、[新增]支持第二套会员中心模板; 9、[新增]后台皮肤主题色配置; 10、[新增]后台站内通知; 11、[新增]积分管理,提前布局积分逻辑,以便后续扩展; 12、[优化]发布/编辑文档的Tag常用标签选择; 13、[优化]移除后台功能开关入口,更换位左侧菜单的更多功能入口; 14、[优化]文档页的点击数标签可以在内页重复调用显示; 15、[优化]整体后台用户体验与布局; 16、[优化]附件设置新增默认浏览数与下载数的设置; 17、[优化]自定义变量的名称为空时,就不保存入数据库;
天龙CentOS7.x - 8.x 一键安装环境.rar
最新发布
04-08
天龙八部游戏在CentOS Linux操作系统上的一键安装环境是一种自动化解决方案,旨在简化游戏服务器端在CentOS 7.x至8.x版本上的部署与配置流程。这类工具或脚本通常集成了游戏所需的多种服务和软件组件的安装与配置...
蛋糕连锁店网站管理系统(含小程序)-PHP
06-20
操作系统:Linux/Unix/Windows 软件环境:Apache/Nginx/IIS + PHP 5.5~7.1 + MySQL 5.0 及以上 本地电脑推荐使用PHPstudy安装,及安装在合适的网站空间、虚拟主机上。 本地测试好搬家需要在后台提前备份好数据库信息...
服务器配置与管理课程标准.pdf
06-08
《服务器配置与管理》课程标准 课程代码: 建议课时数:60 学分:4 适用专业:计算机网络技术 先修课程:《计算机组装与维护》、《计算机网络基础》、《网络操作系统》、 《网络组建与应用》 后续课程:《毕业设计》...
梦想cms(lmxcms)网站管理系统 v1.2
04-04
lmxcms基于php语言和mysql数据库开发,系统采用业界流行的MVC设计模式开发,使得系统结构更加清晰明了,便于进行二次开发和管理,并且lmxcms内嵌了smarty模板引擎,使程序与模板分离,如果您足够了解lmxcms完全可以...
mysql--入门篇
m0_62410163的博客
05-24 1173
mysql入门讲解。
mysql5.7性能查询20个常用命令
net@core的博客
12-14 4134
mysql5.7性能查询20个常用命令
MySQL权限管理
coco3600的博客
07-30 293
MySQL权限管理 一、MySQL权限简介 关于mysql权限简单的理解就是mysql允许你做你全力以内的事情,不可以越界。比如只允许你执行select操作,那...
MySQL 基本操作
yimenglin的博客
03-10 535
 数据库的基本概念 数据 l  描述事物的符号记录称为数据(Data) l  包括数字,文字、图形、图像、声音、档案记录等 l  以“记录”形式按统一的格式进行存储 数据表 l  将不同的记录组织在一起,就形成了 “表” l  是用来存储具体数据的 数据库 l  数据库就是表的集合,是存储数据表的仓库 l  ...
网络安全竞赛mysql加固
10-08
MySQL数据库的加固可以采取以下几个方面的措施: 1. 修改root用户密码:将默认的root用户密码修改为强密码,避免使用弱口令。 2. 限制root用户的远程访问:通过设置MySQL的访问权限,仅允许root用户在本地进行访问,并禁止远程访问。 3. 创建并使用非root用户:创建一个普通用户,并给予其合适的权限,使用该用户进行数据库管理,而不是直接使用root用户。 4. 定期备份数据库:定期对数据库进行备份,以防止数据丢失或遭受攻击后无法恢复。 5. 更新并及时修补数据库软件:保持MySQL数据库软件处于最新版本,并及时应用官方发布的补丁,以修复已知的漏洞。 6. 监控和审计数据库活动:通过日志监控和审计数据库的访问和操作活动,及时发现异常行为并采取相应的措施。 7. 使用防火墙和入侵检测系统:在服务器上配置防火墙,限制对MySQL服务的访问,并安装入侵检测系统,及时检测和阻止潜在的攻击行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值