身份鉴别
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
1.登录mysql查看是否使用了口令和密码的组合鉴别身份
mysql -u root -p
2.查询用户列表,查看是否有相同的用户名。
select user,host FROM mysql.user;
3.查看是否含有空口令
select user,host,authentication_string,password_lifetime,account_locked from mysql.user
4、执行如下命令查看密码复杂度设置
show variables like 'validate%';
默认情况下未启用,启用方法如下
您可以通过修改 MySQL 的配置文件来启用 validate_password 插件。具体步骤如下:
打开 MySQL 配置文件 my.cnf 或 my.ini。
在 [mysqld] 段中添加 validate_password_policy=STRONG 和 validate_password_length=8。
重启 MySQL 服务。
这样,MySQL 就会在设置密码时对密码进行强度验证。
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
1、询问管理员是否采取其他手段配置数据库登录失败处理功能。
2、查看是否安装插件,并增加失败处理功能
show variables like '%connection_control%';
show variables like '%max_connect_errors%'; # 查看登录失败策略
连续连接失败超过100次,阻止后续所有请求。
3、 操作超时自动退出功能
show variables like "%timeout%";
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
