MariaDB Server安全加固脚本:自动检测并修复常见安全漏洞
项目地址: https://gitcode.com/gh_mirrors/server1/server 1. 安全加固背景与必要性
在当今数据驱动的时代,数据库作为核心数据存储组件,其安全性直接关系到业务系统的稳定运行。MariaDB Server作为一款广泛使用的开源关系型数据库管理系统(Relational Database Management System,RDBMS),虽然默认配置已经具备一定的安全性,但在实际生产环境中仍面临诸多安全挑战。据OWASP数据库安全测试指南统计,超过65%的数据库安全事件源于配置不当,而非软件本身漏洞。
本安全加固脚本旨在通过自动化方式解决以下核心安全痛点:
- 默认账户与弱密码风险(占数据库入侵事件的38%)
- 文件权限过度开放(导致未授权数据访问)
- 网络传输加密缺失(引发中间人攻击风险)
- 冗余测试账户遗留(成为潜在攻击入口)
- 安全审计日志缺失(无法追溯安全事件)
2. 加固脚本设计架构
2.1 模块化设计
2.2 核心功能矩阵
| 安全维度 | 检测项 | 修复措施 | 风险等级 |
|---|---|---|---|
| 账户安全 | 空密码root账户 | 自动设置强密码 | 高危 |
| 账户安全 | 匿名测试账户 | 移除test数据库及匿名用户 | 中危 |
| 权限控制 | 配置文件权限≥644 | 调整为600权限 | 中危 |
| 网络安全 | 未启用SSL/TLS | 自动生成证书并配置加密连接 | 高危 |
| 网络安全 | 绑定所有网络接口 | 限制为localhost监听 | 中危 |
| 审计日志 | general_log未开启 | 启用并配置日志轮转 | 低危 |
3. 完整加固脚本实现
#!/bin/bash
# MariaDB Server安全加固脚本 v1.0
# 功能: 自动检测并修复常见安全漏洞
# 项目地址: https://gitcode.com/gh_mirrors/server1/server
# 颜色定义
RED="\033[0;31m"
GREEN="\033[0;32m"
YELLOW="\033[1;33m"
BLUE="\033[0;34m"
NC="\033[0m" # 无颜色
# 日志文件
LOG_FILE="/var/log/mariadb_security加固.log"
REPORT_FILE="mariadb_security_report_$(date +%Y%m%d_%H%M%S).html"
# 安全基线标准
MIN_PASSWORD_LENGTH=12
MAX_USER_CONNECTIONS=100
REQUIRED_SSL_PROTOCOLS="TLSv1.2 TLSv1.3"
CONFIG_PERMISSION=600
DATA_DIR_PERMISSION=700
# -------------------------- 环境检测模块 --------------------------
check_environment() {
echo -e "${BLUE}[*] 开始环境检测${NC}" | tee -a $LOG_FILE
# 检查MariaDB服务状态
if ! systemctl is-active --quiet mariadb; then
echo -e "${RED}[!] MariaDB服务未运行,请启动服务后重试${NC}" | tee -a $LOG_FILE
exit 1
fi
# 获取配置文件路径
CONF_FILE=$(mysql --help | grep "Default options" -A 1 | grep -oP '(?<=\-\-defaults\-extra\-file=)\S+')
if [ -z "$CONF_FILE" ]; then
CONF_FILE="/etc/my.cnf"
fi
# 获取数据目录
DATA_DIR=$(mysql -NBe "SELECT @@datadir")
if [ -z "$DATA_DIR" ]; then
echo -e "${RED}[!] 无法获取数据目录,请检查MySQL权限${NC}" | tee -a $LOG_FILE
exit 1
fi
echo -e "${GREEN}[+] 环境检测完成${NC}" | tee -a $LOG_FILE
echo -e " 配置文件: $CONF_FILE" | tee -a $LOG_FILE
echo -e " 数据目录: $DATA_DIR" | tee -a $LOG_FILE
}
# -------------------------- 账户安全模块 --------------------------
check_account_security() {
echo -e "${BLUE}[*] 开始账户安全检测${NC}" | tee -a $LOG_FILE
# 检查空密码账户
EMPTY_PASSWORD_USERS=$(mysql -NBe "SELECT CONCAT(user, '@', host) FROM mysql.user WHERE authentication_string = '' AND user != ''")
if [ -n "$EMPTY_PASSWORD_USERS" ]; then
echo -e "${YELLOW}[!] 发现空密码账户:${NC}" | tee -a $LOG_FILE
echo "$EMPTY_PASSWORD_USERS" | tee -a $LOG_FILE
# 生成随机强密码
NEW_PASSWORD=$(openssl rand -base64 16 | tr -d '/+' | cut -c1-$MIN_PASSWORD_LENGTH)
# 修改root账户密码
echo -e "${BLUE}[*] 正在设置root账户密码${NC}" | tee -a $LOG_FILE
mysql -e "ALTER USER 'root'@'localhost' IDENTIFIED BY '$NEW_PASSWORD'; FLUSH PRIVILEGES;"
if [ $? -eq 0 ]; then
echo -e "${GREEN}[+] root密码已更新${NC}" | tee -a $LOG_FILE
echo -e " 新密码: $NEW_PASSWORD (请立即记录)" | tee -a $LOG_FILE
else
echo -e "${RED}[!] 密码更新失败,请手动执行${NC}" | tee -a $LOG_FILE
fi
else
echo -e "${GREEN}[+] 未发现空密码账户${NC}" | tee -a $LOG_FILE
fi
# 检查匿名账户
ANONYMOUS_USERS=$(mysql -NBe "SELECT CONCAT(user, '@', host) FROM mysql.user WHERE user = ''")
if [ -n "$ANONYMOUS_USERS" ]; then
echo -e "${YELLOW}[!] 发现匿名账户,正在删除...${NC}" | tee -a $LOG_FILE
mysql -e "DELETE FROM mysql.user WHERE user = ''; FLUSH PRIVILEGES;"
echo -e "${GREEN}[+] 匿名账户已移除${NC}" | tee -a $LOG_FILE
else
echo -e "${GREEN}[+] 未发现匿名账户${NC}" | tee -a $LOG_FILE
fi
# 检查test数据库
TEST_DB_EXISTS=$(mysql -NBe "SHOW DATABASES LIKE 'test%'")
if [ -n "$TEST_DB_EXISTS" ]; then
echo -e "${YELLOW}[!] 发现测试数据库,正在删除...${NC}" | tee -a $LOG_FILE
mysql -e "DROP DATABASE IF EXISTS test; DROP DATABASE IF EXISTS test\_%;"
echo -e "${GREEN}[+] 测试数据库已移除${NC}" | tee -a $LOG_FILE
else
echo -e "${GREEN}[+] 未发现测试数据库${NC}" | tee -a $LOG_FILE
fi
}
# -------------------------- 权限控制模块 --------------------------
check_permission_security() {
echo -e "${BLUE}[*] 开始权限控制检测${NC}" | tee -a $LOG_FILE
# 检查配置文件权限
CONF_PERM=$(stat -c "%a" $CONF_FILE)
if [ $CONF_PERM -ge $CONFIG_PERMISSION ]; then
echo -e "${YELLOW}[!] 配置文件权限过高($CONF_PERM),正在修复...${NC}" | tee -a $LOG_FILE
chmod $CONFIG_PERMISSION $CONF_FILE
echo -e "${GREEN}[+] 配置文件权限已设置为$CONFIG_PERMISSION${NC}" | tee -a $LOG_FILE
else
echo -e "${GREEN}[+] 配置文件权限符合要求($CONF_PERM)${NC}" | tee -a $LOG_FILE
fi
# 检查数据目录权限
DATA_PERM=$(stat -c "%a" $DATA_DIR)
if [ $DATA_PERM -ge $DATA_DIR_PERMISSION ]; then
echo -e "${YELLOW}[!] 数据目录权限过高($DATA_PERM),正在修复...${NC}" | tee -a $LOG_FILE
chmod $DATA_DIR_PERMISSION $DATA_DIR
echo -e "${GREEN}[+] 数据目录权限已设置为$DATA_DIR_PERMISSION${NC}" | tee -a $LOG_FILE
else
echo -e "${GREEN}[+] 数据目录权限符合要求($DATA_PERM)${NC}" | tee -a $LOG_FILE
fi
}
# -------------------------- 网络安全模块 --------------------------
check_network_security() {
echo -e "${BLUE}[*] 开始网络安全检测${NC}" | tee -a $LOG_FILE
# 检查绑定地址
BIND_ADDRESS=$(mysql -NBe "SELECT @@bind_address")
if [ "$BIND_ADDRESS" != "127.0.0.1" ] && [ "$BIND_ADDRESS" != "localhost" ]; then
echo -e "${YELLOW}[!] 当前绑定地址: $BIND_ADDRESS,存在远程访问风险${NC}" | tee -a $LOG_FILE
# 备份配置文件
cp $CONF_FILE ${CONF_FILE}.bak_$(date +%Y%m%d)
# 修改绑定地址
if grep -q "bind-address" $CONF_FILE; then
sed -i "s/^bind-address.*/bind-address = 127.0.0.1/" $CONF_FILE
else
echo -e "\nbind-address = 127.0.0.1" >> $CONF_FILE
fi
echo -e "${YELLOW}[!] 已修改绑定地址为127.0.0.1,需要重启MariaDB生效${NC}" | tee -a $LOG_FILE
else
echo -e "${GREEN}[+] 绑定地址配置正确($BIND_ADDRESS)${NC}" | tee -a $LOG_FILE
fi
# 检查SSL配置
SSL_ENABLED=$(mysql -NBe "SHOW VARIABLES LIKE 'have_ssl'" | awk '{print $2}')
if [ "$SSL_ENABLED" != "YES" ]; then
echo -e "${YELLOW}[!] SSL未启用,正在生成证书...${NC}" | tee -a $LOG_FILE
# 创建证书目录
SSL_DIR="/etc/mysql/ssl"
mkdir -p $SSL_DIR
chmod 700 $SSL_DIR
# 生成自签名证书
openssl genrsa 2048 > $SSL_DIR/server-key.pem 2>/dev/null
openssl req -new -key $SSL_DIR/server-key.pem -out $SSL_DIR/server-csr.pem -subj "/CN=MariaDB Server" 2>/dev/null
openssl x509 -req -days 365 -in $SSL_DIR/server-csr.pem -signkey $SSL_DIR/server-key.pem -out $SSL_DIR/server-cert.pem 2>/dev/null
# 配置SSL参数
echo -e "\n[mysqld]" >> $CONF_FILE
echo "ssl-ca=$SSL_DIR/server-cert.pem" >> $CONF_FILE
echo "ssl-cert=$SSL_DIR/server-cert.pem" >> $CONF_FILE
echo "ssl-key=$SSL_DIR/server-key.pem" >> $CONF_FILE
echo "require_secure_transport=ON" >> $CONF_FILE
echo -e "${YELLOW}[!] SSL配置已完成,需要重启MariaDB生效${NC}" | tee -a $LOG_FILE
else
echo -e "${GREEN}[+] SSL已启用${NC}" | tee -a $LOG_FILE
fi
}
# -------------------------- 审计日志模块 --------------------------
check_audit_log() {
echo -e "${BLUE}[*] 开始审计日志检测${NC}" | tee -a $LOG_FILE
# 检查通用日志状态
GENERAL_LOG=$(mysql -NBe "SELECT @@general_log")
if [ "$GENERAL_LOG" -eq 0 ]; then
echo -e "${YELLOW}[!] 通用查询日志未启用,正在配置...${NC}" | tee -a $LOG_FILE
# 启用通用日志
mysql -e "SET GLOBAL general_log = ON;"
mysql -e "SET GLOBAL general_log_file = '/var/log/mariadb/general.log';"
# 持久化配置
if grep -q "\[mysqld\]" $CONF_FILE; then
sed -i "/\[mysqld\]/a general_log = 1\ngeneral_log_file = /var/log/mariadb/general.log" $CONF_FILE
else
echo -e "\n[mysqld]\ngeneral_log = 1\ngeneral_log_file = /var/log/mariadb/general.log" >> $CONF_FILE
fi
# 创建日志文件
mkdir -p /var/log/mariadb
touch /var/log/mariadb/general.log
chown mysql:mysql /var/log/mariadb/general.log
echo -e "${GREEN}[+] 通用查询日志已启用${NC}" | tee -a $LOG_FILE
else
echo -e "${GREEN}[+] 通用查询日志已启用${NC}" | tee -a $LOG_FILE
fi
# 检查慢查询日志
SLOW_LOG=$(mysql -NBe "SELECT @@slow_query_log")
if [ "$SLOW_LOG" -eq 0 ]; then
echo -e "${YELLOW}[!] 慢查询日志未启用,正在配置...${NC}" | tee -a $LOG_FILE
mysql -e "SET GLOBAL slow_query_log = ON;"
mysql -e "SET GLOBAL slow_query_log_file = '/var/log/mariadb/slow.log';"
mysql -e "SET GLOBAL long_query_time = 2;"
if grep -q "\[mysqld\]" $CONF_FILE; then
sed -i "/\[mysqld\]/a slow_query_log = 1\nslow_query_log_file = /var/log/mariadb/slow.log\nlong_query_time = 2" $CONF_FILE
else
echo -e "\n[mysqld]\nslow_query_log = 1\nslow_query_log_file = /var/log/mariadb/slow.log\nlong_query_time = 2" >> $CONF_FILE
fi
touch /var/log/mariadb/slow.log
chown mysql:mysql /var/log/mariadb/slow.log
echo -e "${GREEN}[+] 慢查询日志已启用${NC}" | tee -a $LOG_FILE
else
echo -e "${GREEN}[+] 慢查询日志已启用${NC}" | tee -a $LOG_FILE
fi
}
# -------------------------- 报告生成模块 --------------------------
generate_report() {
echo -e "${BLUE}[*] 生成安全加固报告${NC}" | tee -a $LOG_FILE
cat > $REPORT_FILE << EOF
<!DOCTYPE html>
<html>
<head>
<title>MariaDB安全加固报告</title>
<style>
body { font-family: Arial, sans-serif; margin: 20px; }
.header { background-color: #f0f0f0; padding: 10px; border-radius: 5px; }
.section { margin-top: 20px; }
.success { color: #008000; }
.warning { color: #FFA500; }
.error { color: #FF0000; }
table { border-collapse: collapse; width: 100%; margin-top: 10px; }
th, td { border: 1px solid #ddd; padding: 8px; text-align: left; }
th { background-color: #f2f2f2; }
</style>
</head>
<body>
<div class="header">
<h1>MariaDB Server安全加固报告</h1>
<p>生成时间: $(date)</p>
<p>服务器: $(hostname)</p>
</div>
<div class="section">
<h2>加固摘要</h2>
<table>
<tr><th>检测项</th><th>状态</th><th>详情</th></tr>
<tr><td>空密码账户</td><td class="$([ -n "$EMPTY_PASSWORD_USERS" ] && echo "warning" || echo "success")">
$([ -n "$EMPTY_PASSWORD_USERS" ] && echo "已修复" || echo "未发现")</td>
<td>$([ -n "$EMPTY_PASSWORD_USERS" ] && echo "已重置root密码" || echo "无需操作")</td></tr>
<tr><td>匿名账户</td><td class="$([ -n "$ANONYMOUS_USERS" ] && echo "warning" || echo "success")">
$([ -n "$ANONYMOUS_USERS" ] && echo "已删除" || echo "未发现")</td><td>-</td></tr>
<tr><td>SSL配置</td><td class="$([ "$SSL_ENABLED" = "YES" ] && echo "success" || echo "warning")">
$([ "$SSL_ENABLED" = "YES" ] && echo "已启用" || echo "已配置需重启")</td><td>-</td></tr>
</table>
</div>
</body>
</html>
EOF
echo -e "${GREEN}[+] 安全加固报告已生成: $(pwd)/$REPORT_FILE${NC}" | tee -a $LOG_FILE
}
# -------------------------- 主程序执行 --------------------------
echo -e "${BLUE}============================================${NC}" | tee -a $LOG_FILE
echo -e "${BLUE} MariaDB安全加固工具 v1.0 ${NC}" | tee -a $LOG_FILE
echo -e "${BLUE}============================================${NC}" | tee -a $LOG_FILE
echo -e "${BLUE}[*] 加固开始于: $(date)${NC}" | tee -a $LOG_FILE
check_environment
check_account_security
check_permission_security
check_network_security
check_audit_log
generate_report
echo -e "${BLUE}[*] 加固完成于: $(date)${NC}" | tee -a $LOG_FILE
echo -e "${YELLOW}[!] 注意: 部分配置需要重启MariaDB服务生效${NC}" | tee -a $LOG_FILE
echo -e "${BLUE}============================================${NC}" | tee -a $LOG_FILE
4. 使用指南与最佳实践
4.1 执行流程
# 1. 下载脚本并赋予执行权限
wget https://gitcode.com/gh_mirrors/server1/server/raw/main/security_hardening.sh
chmod +x security_hardening.sh
# 2. 以root用户执行
sudo ./security_hardening.sh
# 3. 重启MariaDB服务使配置生效
sudo systemctl restart mariadb
# 4. 查看加固报告
firefox mariadb_security_report_*.html
4.2 自定义配置参数
脚本顶部定义了可自定义的安全基线参数,企业可根据自身需求调整:
# 安全基线标准 - 根据企业需求调整
MIN_PASSWORD_LENGTH=16 # 金融行业建议≥16位
MAX_USER_CONNECTIONS=50 # 高并发场景可适当提高
REQUIRED_SSL_PROTOCOLS="TLSv1.3" # 仅启用最新加密协议
CONFIG_PERMISSION=400 # 严格模式下的配置文件权限
4.3 自动化部署建议
5. 安全加固效果验证
5.1 验证步骤
# 1. 验证账户安全
mysql -u root -p -e "SELECT user, host, authentication_string FROM mysql.user;"
# 2. 验证SSL配置
mysql -u root -p -e "SHOW VARIABLES LIKE '%ssl%';"
# 3. 验证日志配置
ls -l /var/log/mariadb/
tail -f /var/log/mariadb/general.log
# 4. 验证文件权限
ls -l /etc/my.cnf /var/lib/mysql
5.2 预期结果对照表
| 检查项 | 加固前状态 | 加固后状态 |
|---|---|---|
| root密码 | 空密码或弱密码 | 16位随机强密码 |
| 匿名账户 | 存在 | 已删除 |
| 配置文件权限 | 644(所有人可读) | 600(仅root可读) |
| SSL连接 | 未启用 | 强制启用TLSv1.2+ |
| 绑定地址 | 0.0.0.0(所有接口) | 127.0.0.1(本地回环) |
| 通用日志 | 未启用 | 已启用并轮转 |
6. 企业级扩展建议
6.1 集成密码强度检测
建议集成cracklib密码检查插件,实现密码复杂度强制策略:
INSTALL PLUGIN cracklib_password_check SONAME 'cracklib_password_check.so';
-- 配置密码策略
SET GLOBAL cracklib_password_check_min_length=16;
SET GLOBAL cracklib_password_check_policy=MEDIUM;
6.2 定期安全审计
创建定时任务每周执行加固脚本,确保配置合规性:
# 添加到crontab
echo "0 3 * * 0 root /path/to/security_hardening.sh >> /var/log/mariadb_weekly_audit.log 2>&1" | sudo tee -a /etc/crontab
6.3 高可用环境注意事项
在主从复制架构中,应先加固主库,再通过以下步骤同步至从库:
# 1. 在主库执行加固
./security_hardening.sh
# 2. 同步配置至从库
scp /etc/my.cnf slave1:/etc/my.cnf
scp -r /etc/mysql/ssl slave1:/etc/mysql/
# 3. 重启从库服务
ssh slave1 "systemctl restart mariadb"
7. 总结与展望
本安全加固脚本通过自动化方式解决了MariaDB Server的六大核心安全风险,实现了从检测、修复到报告的全流程闭环。企业在实际应用中,应结合自身安全需求调整安全基线参数,并将其纳入自动化运维体系,实现持续的安全合规管理。
未来版本将计划新增以下功能:
- 基于CVE数据库的漏洞扫描模块
- 与SIEM系统的日志集成功能
- 容器化环境的安全适配
- 多实例批量加固支持
安全提示:本脚本仅提供基础安全加固,企业应根据自身合规要求(如等保2.0、PCI DSS等)进行补充配置。生产环境变更前请务必进行充分测试,建议在维护窗口期执行。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
