MySql数据库安全配置基线.doc

此文档收集于网络 如有侵权请联系网站删除 仅供学习与交流 MysqlMysql 数据库系统安全配置基线数据库系统安全配置基线 此文档收集于网络 如有侵权请联系网站删除 仅供学习与交流 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V2 0创建2012 年 4 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 此文档收集于网络 如有侵权请联系网站删除 仅供学习与交流 目目 录录 第第 1 章章概述概述 4 1 1目的 4 1 2适用范围 4 1 3适用版本 4 1 4实施 4 1 5例外条款 4 第第 2 章章帐号帐号 5 2 1帐号安全 5 2 1 1禁止 Mysql 以管理员帐号权限运行 5 2 1 2避免不同用户间共享帐号 5 2 1 3删除无关帐号 6 第第 3 章章口令口令 8 3 1口令安全 8 3 1 1不使用默认密码和弱密码 8 3 2授权 8 3 2 1分配用户最小权限 8 第第 4 章章日志日志 10 4 1日志审计 10 4 1 1配置日志功能 10 第第 5 章章其他其他 12 5 1其他配置 12 5 1 1安装了最新的安全补丁 12 5 1 2如果不需要 应禁止远程访问 12 5 1 3可信 IP 地址访问控制 13 5 1 4连接数设置 14 第第 6 章章评审与修订评审与修订 15 此文档收集于网络 如有侵权请联系网站删除 仅供学习与交流 第第 1 章章概述概述 1 1 目的目的 本文档旨在指导数据库管理人员进行 Mysql 数据库系统的安全配置 1 2 适用范围适用范围 本配置标准的使用者包括 数据库管理员 应用管理员 网络安全管理员 1 3 适用版本适用版本 Mysql 数据库系统 1 4 实施实施 1 5 例外条款例外条款 此文档收集于网络 如有侵权请联系网站删除 仅供学习与交流 第第 2 章章帐号帐号 2 1 帐号安全帐号安全 2 1 1 禁止禁止 Mysql 以管理员帐号权限运行以管理员帐号权限运行 安全基线项安全基线项 目名称目名称 数据库管理系统 Mysql 远程登录安全基线要求项 安全基线编安全基线编 号号 SBL Mysql 02 01 01 安全基线项安全基线项 说明说明 以普通帐户安全运行 mysqld 禁止 mysql 以管理员帐号权限运行 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 Unix 下可以通过在 etc f 中设置 mysql server user mysql 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 各种操作系统下以管理员权限运行 Unix 下禁止以 root 帐号运行 mysqld 2 检测操作 检测操作 检查进程属主和运行参数是否包含 user mysql 类似语句 ps ef grepmysqld grep i user etc f 备注备注 2 1 2 避免不同用户间共享帐号避免不同用户间共享帐号 安全基线项安全基线项 目名称目名称 数据库管理系统 Mysql 用户属性控制策略安全基线要求项 安全基线编安全基线编 号号 SBL Mysql 02 01 02 安全基线项安全基线项 说明说明 应按照用户分配帐号 避免不同用户间共享帐号 此文档收集于网络 如有侵权请联系网站删除 仅供学习与交流 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 创建用户 mysql mysql insert into mysql user Host User Password ssl cipher x509 issuer x509 sub ject values localhost pppadmin password passwd 这样就创建了一个名为 phplamp 密码为 1234 的用户 然后登录一下 mysql exit mysql u phplamp p 输入密码 mysql 登录成功 2 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 不用名称的用户可以连接数据库 2 2 检测操作检测操作 使用不同用户连接数据库 备注备注手工检查 2 1 3 删除无关帐号删除无关帐号 安全基线项安全基线项 目名称目名称 数据库管理系统 Mysql 帐号管理安全基线要求项 安全基线编安全基线编 号号 SBL Mysql 02 01 03 安全基线项安全基线项 说明说明 应删除或锁定与数据库运行 维护等工作无关的帐号 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 DROP USER 语句用于删除一个或多个 MySQL 账户 要使用 DROP USER 必须 拥有 mysql 数据库的全局 CREATE USER 权限或 DELETE 权限 账户名称的用 户和主机部分与用户表记录的 User 和 Host 列值相对应 使用 DROP USER 您可以取消一个账户和其权限 操作如下 DROP USER user 该语句可以删除来自所有授权表的帐户权限记录 2 2 补充操作说明 补充操作说明 要点 DROP USER 不能自动关闭任何打开的用户对话 而且 如果用户有打开的对 话 此时取消用户 则命令不会生效 直到用户对话被关闭后才生效 一旦 对话被关闭 用户也被取消 此用户再次试图登录时将会失败 基线符合性基线符合性 判定依据判定依据 检测操作 检测操作 mysql 查看所有用户的语句 此文档收集于网络 如有侵权请联系网站删除 仅供学习与交流 输入指令 select user 依次检查所列出的账户是否为必要账户 删除无用户或过期账户 注 无关的帐号主要指测试帐户 共享帐号 长期不用帐号 半年以上不用 等 备注备注手工检查 此文档收集于网络 如有侵权请联系网站删除 仅供学习与交流 第第 3 章章口令口令 3 1 口令安全口令安全 3 1 1 不使用默认密码和弱密码不使用默认密码和弱密码 安全基线项安全基线项 目名称目名称 数据库管理系统 Mysql 账户口令安全基线要求项 安全基线编安全基线编 号号 SBL Mysql 03 01 01 安全基线项安全基线项 说明说明 检查帐户默认密码和弱密码 口令长度至少8位 并包括数字 小写字母 大写字母和特殊符号四类中至少两类 且5次以内不得设置相同的口令 密 码应至少每90天进行更换 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 修改帐户弱密码 如要修改密码 执行如下命令 mysql update user set password password test p3 where user root mysql flush privileges 2 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 密码长度至少 8 位 并包括数字 小写字母 大写字母和特殊符号 4 类中至 少 2 类 2 2 检测操作检测操作 检查本地密码 注意 管理帐号 root 默认是空密码 mysql use mysql mysql select Host User Password Select priv Grant priv from user 备注备注 3 2 授权授权 3 2 1 分配用户最小权限分配用户最小权限 安全基线项安全基线项 目名称目名称 数据库管理系统 Mysql 权限分配策略安全基线要求项 此文档收集于网络 如有侵权请联系网站删除 仅供学习与交流 安全基线编安全基线编 号号 SBL Mysql 03 02 01 安全基线项安全基线项 说明说明 在数据库权限配置能力内 根据用户的业务需要 配置其所需的最小权限 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 合理设置用户权限 撤销危险授权 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 确保数据库没有不必要的或危险的授权 2 检测操作检测操作 查看数据库授权情况 mysql use mysql mysql select from user mysql select from db mysql select from host mysql select from tables priv mysql select from columns priv 回收不必要的或危险的授权 可以执行 revoke 命令 mysql help revoke Name REVOKE Description Syntax REVOKE priv type column list priv type column list ON object type db name db name tbl name tbl name 此文档收集于网络 如有侵权请联系网站删除 仅供学习与交流 db name routine name FROM user user 备注备注手工检查 此文档收集于网络 如有侵权请联系网站删除 仅供学习与交流 第第 4 章章日志日志 4 1 日志审计日志审计 4 1 1 配置日志功能配置日志功能 安全基线项安全基线项 目名称目名称 数据库管理系统 Mysql 配置日志功能安全基线要求项 安全基线编安全基线编 号号 SBL Mysql 04 01 01 安全基线项安全基线项 说明说明 数据库应配置日志功能 检测操作步检测操作步 骤骤 mysql 有以下几种日志 错误日志 log err 查询日志 log 可选 慢查询日志 log slow queries 可选 更新日志 log update 二进制日志 log bin 在 mysql 的安装目录下 打开 my ini 在后面加上上面的参数 保存后重启 mysql 服务就行了 例如 Enter a name for the binary log Otherwise a default name will be used log bin Enter a name for the query log file Otherwise a default name will be used log Enter a name for the error log file Otherwise a default name will be used log error Enter a name for the update log file Otherwise a default name will be used log update 此文档收集于网络 如有侵权请联系网站删除 仅供学习与交流 上面只开启了错误日志 要开其他的日志就把前面的 去掉 1 补充操作说明 show variables like log 查看所有的 log 命令 2 show variables like log bin 查看具体的 log 命令 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 启用审核记录对数据库的操作 便于日后检查 2 检测操作检测操作 打开 etc f 文件 查看是否包含如下设置 mysqld log filename 备注备注手工检查 此文档收集于网络 如有侵权请联系网站删除 仅供学习与交流 第第 5 章章其他其他 5 1 其他配置其他配置 5 1 1 安装了最新的安全补丁安装了最新的安全补丁 安全基线项安全基线项 目名称目名称 数据库管理系统 Mysql 补丁安全基线要求项 安全基线编安全基线编 号号 SBL Mysql 05 01 01 安全基线项安全基线项 说明说明 系统安装了最新的安全补丁 注 在保证业务及网络安全的前提下 经过 兼容性测试后 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 下载并安装最新 mysql 安全补丁 2 补充操作说明补充操作说明 安全警报和补丁下载网址是 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 确保数据库为企业版 并且安装了最新安全补丁 如果是不安全的社区版 建议替换为企业版 收费 2 检测操作检测操作 使用如下命令查看当前补丁版本 mysql SELECT VERSION 备注备注根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 5 1 2 如果不需要 应禁止远程访问如果不需要 应禁止远程访问 安全基线项安全基线项 目名称目名称 数据库管理系统 Mysql 远程访问安全基线要求项 安全基线编安全基线编 号号 SBL Mysql 05 01 02 安全基线项安全基线项 说明说明 禁止网络连接 防止猜解密码攻击 溢出攻击和嗅探攻击 仅限于应用和 数据库在同一台主机的情况 此文档收集于网络 如有侵权请联系网站删除 仅供学习与交流 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 如果数据库不需远程访问 可以禁止远程 tcp ip 连接 通过在 mysqld 服务器 中参数中添加 skip networking 启动参数来使 mysql 不监听任何 TCP IP 连 接 增加安全性 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 远程无法连接 2 检测操作检测操作 cat etc f ps ef grep i mysql 或从客户机远程 telnet mysqlserver 3306 备注备注根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 5 1 3可信可信 IP 地址访问控制地址访问控制 安全基线项安全基线项 目名称目名称 数据库管理系统 Mysql 访问策略安全基线要求项 安全基线编安全基线编 号号 SBL Mysql 05 01 03 安全基线项安全基线项 说明说明 通过数据库所在操作系统或防火墙限制 只有信任的 IP 地址才能通过监听 器访问数据库 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 执行命令 mysql GRANT ALL