MySQL(Windows)数据库安全加固指导手册

原创 于 2023-10-24 14:06:07 发布 · 335 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#1024程序员节

博客给出了适用的MySQL版本,包括5.0.51b/8.0.21。重点介绍了MySQL安全加固指导,涵盖安全计算环境的身份鉴别、访问控制、入侵防范和日志审计等方面,如检查空密码、匿名账户,设置最大连接数,删除测试库,配置日志功能等。

适用版本

mysql  Ver 14.12 Distrib 5.0.51b/8.0.21

  • 安全加固指导
    1.  安全计算环境
      1.  身份鉴别
        1.  检查是否存在空密码
        2.  检查是否存在匿名账户
      2.  访问控制
        1.  检查是否按用户分配账号
        2.  检查是否禁止mysql以管理员账号权限运行
        3.  检查是否禁止mysql对本地文件存取
        4.  检查是否更改默认mysql管理员账号 
        5.  根据机器性能和业务需求,设置最大连接数

加固要求

应不存在空密码账户

加固方法

以下操作需DBA权限

修改帐户弱密码

如要修改密码,执行如下命令:

将密码为root的用户密码修改为test!p3

mysql> update user set password=password('test!p3') where user='root';

刷新mysql的系统权限相关表

mysql> flush privileges;

检查方法

使用命令:

select Password from user

8.0.22版本使用命令:

select authentication_string from user

5.7版本使用命令:

select Password from user

结果中不存在密码为空的用户为符合。

MySQL5.6

MySQL5.7.31

MySQL8.0.22

加固情况

备注

加固要求

应禁用匿名账户

加固方法

以下操作需DBA权限

mysql>use mysql;

mysql>delete from user where User = '';

刷新mysql的系统权限相关表

mysql> flush privileges

检查方法

使用命令:

select user from user

结果中不存在匿名用户为符合。

MySQL5.6

MySQL5.7.31

MySQL8.0.22

加固情况

备注

加固要求

应按用户分配账号权限

加固方法

以下操作需DBA权限

eg:创建账号test,密码为nsfocus

mysql>insert into mysql.user(Host,User,Password,ssl_cipher,x509_issuer,x509_subject) values("localhost","test",password("nsfocus"),'','','');

检查方法

使用命令:

select user from user

结果中不存在多余、过期账号为符合。

MySQL5.6

MySQL5.7.31

MySQL8.0.22

加固情况

备注

加固要求

应配置用户不能重复使用最近5次内已使用过的密码

加固方法

创建mysql用户并在my.ini中配置user=mysql

检查方法

进入mysql安装目录的根目录,找到my.ini文件,查看文件内容

结果中包含user=mysql语句为符合。

加固情况

备注

加固要求

应禁止mysql对本地文件进行存取操作

加固方法

在my.ini的mysqld字段下加入local-infile=0 重启mysql后生效 假如需要获取本地文件,需要打开此功能,但出于安全考虑建议关闭 重新开启local-infile=1。

检查方法

进入mysql安装目录的根目录,找到my.ini文件,查看文件内容。

结果中包含local-infile=0语句为符合。

加固情况

备注

加固要求

应更改默认MySQL管理员账号口令

加固方法

以下操作需DBA权限

mysql> update user set user="newname" where user="root";

刷新mysql的系统权限相关表

mysql> flush privileges;

newname为管理员账号的新名称,改成不易被猜测的用户名。

检查方法

使用命令:

select user from user

结果中不包含root用户为符合。

MySQL5.6

MySQL5.7.31

MySQL8.0.22

加固情况

备注

加固要求

应根据机器性能和业务需求,设置最大连接数

加固方法

在mysql的安装目录下,在my.ini中在[mysqld]配置段添加: max_connections = 1000,重启mysql服务。

检查方法

进入mysql安装目录的根目录,找到my.ini文件,查看文件内容。

结果中包含max_connections = 1000语句为符合。

加固情况

备注

      1.  入侵防范
        1.  检查是否删除测试安装的test库
      2.  日志审计
        1.  检查是否配置日志功能

加固要求

应删除mysql测试库test库

加固方法

以下操作需DBA权限

显示所有数据库

mysql> show databases;

删除命名为test的数据库

mysql> drop database test;

刷新mysql的系统权限相关表

mysql> flush privileges;

检查方法

使用命令:

show databases

结果中不包含test库为符合。

MySQL5.6

MySQL5.7.31

MySQL8.0.22

加固情况

备注

加固要求

应开启通用日志,日志应至少保存6个月以上

加固方法

检查是否配置错误日志:

在mysql的安装目录下,在my.ini中配置log_error的目录,并重启mysql服务。

检查是否配置 慢查询日志:

在mysql的安装目录下,在my.ini中配置log_slow_queries的目录,并重启mysql服务。

检查是否配置二进制日志:

在mysql的安装目录下,在my.ini中配置log_bin的目录,并重启mysql服务。

检测是否配置更新日志:

在mysql的安装目录下,在my.ini中配置log_slave_updates=1,并重启mysql服务。

检查是否配置查询日志:

在mysql的安装目录下,在my.ini中配置log的目录,并重启mysql服务。

检查方法

进入mysql安装目录的根目录,找到my.ini文件,查看文件内容

结果中配置了log文件的目录为符合。

加固情况

备注

博客
关于群辉920+更新升级系统后SSD固态存储不受当前DSM版本支持的解决方法
10-28 2250
群晖升级DSM7.2后,原先插在缓存槽的ssd用作存储空间的存储池变红,重启后无法识别,但ssh进去后可以正常显示,安装在里面的套件全部消失,下面是解决方法。按下 i 键进行编辑,找到”support_disk_compatibility=”yes””这一行,把yes改成no。然后,下载putty,用administrator管理权限组的账号登录,可以自己尝试修复,注意:数据无价,谨慎操作!退出vi,输入reboot,重启后恢复正常,多次重启仍然正常。添加完成后,先按下键盘的“ESC”键,退出编辑模式。
博客
如何对群辉docker进行简单更新升级
10-25 1953
第一步是先编写一个docker的配置文件,命名为docker-compose.yml,它定义了应用的服务、网络和卷。首先查看我们的docker项目的官方是否有更新,新版本的发布,如果有,则通过docker 后台命令进行拉取。这里我们以halo个人博客项目为例,通过。接下来就是对群辉中的docker进行升级了,打开后台,进入docker项目部署的目录,我这里是docker下的halo目录。等待新版本拉取完成后,我们打开群辉docker 管理程序查看,是否有新版本镜像,通过查看我们的最新版镜像已经下载成功。
博客
一款免费开源的即时通讯聊天系统-VoceChat
10-25 1677
通VoceChat,您可以轻松构建自定义聊天功能,它提供了强大的机器人与社交频道特性,能够无缝集成到您的网站或应用程序中。在我遇到了https证书问题的时候,成功联系到了羊二老师,羊二老师也特别耐心的回答了问题。对小白也是非常友好,根据文档教程也可以轻松搭建属于自己的聊天服务器,大家有闲置的设备(NAS或者VPS)的可以试试。1.部署方便,按照官方文档里的步骤一步步来,全程没有遇到什么问题,还是很方便的。4.中文支持,应用界面做了全面的中文支持,技术文档的汉化工作也做的很不错。
博客
Oracle(Windows)数据库安全加固指导手册
10-24 978
SQL>alter user 用户名 profile [new_profile];3)检查日志路径是否存在:切换到oracle的管理员,执行下列命令 $ORACLE_HOME/bin/lsnrctl LSNRCTL> set log_directory <Oracle_install_dir_path路径>/network/admin LSNRCTL> set log_file <sid名称>.log LSNRCTL> set log_status on LSNRCTL> save_config。
博客
Apache Tomcat 文件包含漏洞(CVE-2020-1938)操作指南
08-09 1039
1.漏洞详细Tomcat是Apache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web应用服务器,被普遍使用在轻量级Web应用服务的构架中。2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞。Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读
博客
Apache Solr 未授权上传(RCE)漏洞(CVE-2020-13957)加固操作指南
08-09 932
Apache Solr 未授权上传(RCE)漏洞(CVE-2020-13957)
博客
linux挂载硬盘技术手册
10-31 458
使用Vim编辑器,打开/etc/fstab,在最后一行添加如图中所示,其中/dev/VolGroup00/lvData指定需要挂载的分区LV,/opt指定要挂载的目录(挂载点),ext4分区文件系统格式,其它使用默认即可。创建了一个名字为lvData,容量大小是5T的分区,其中:-L:指定LV的大小 -n:指定LV的名。使用分区工具(如:fdisk等)创建LVM分区,方法和创建其他一般分区的方式是一样的,区别仅仅是LVM的分区类型为8e。一定要指定分区的格式为8e,这是LVM的分区格式。
博客
linux清理内存
10-31 6199
sync 命令将所有未写的系统缓冲区写到磁盘中,包含已修改的 i-node、已延迟的块 I/O 和读写映射文件)因为Linux的内核机制,一般情况下不需要特意去释放已经使用的cache。used——已使用内存,一般情况这个值会比较大,因为这个值包括了cache+应用程序使用的内存。后个值表示+buffers/cache——所有可供应用程序使用的内存大小,free加上缓存值。前个值表示-buffers/cache——应用程序使用的内存大小,used减去缓存值。free——完全未被使用的内存。
博客
linux利用yum命令升级操作系统
10-31 1525
手动安装的时候有可能会遇到树形依赖、环形依赖和模块依赖。这几种依赖手动解决并不困难,但解决过程较为繁琐,树形依赖最好解决,依据。只是光盘中的软件包有可能不是最新版本,这就需要用户做出折中了,如果需要体验最新版,就需要联网安装、升级。环形依赖的解决方式是同时安装具有环形依赖的包,也就是说在一条。中罗列出环形依赖的包,让系统同时进行安装。就是我们需要保留的文件,注意其余文件最好不要删除,以防以后使用。升级所有包,不改变软件设置和系统设置,系统版本升级,内核不改变。软件包,并自动解决包依赖问题。
博客
linux挂载ISO文件
10-31 3356
1) 在Linux下对SCSI的设备是以sd命名的,第一个ide设备是sda,第二个是sdb,依此类推。主SCSI上的两个设备分别对应sda和sdb,第二个SCSI口上的两个设备对应sdc和sdd。一般硬盘安装在主SCSI的主接口上,所以是sda或者sdb,光驱一般安装在第二个SCSI的主接口上,所以是sdc. (IDE接口设备是用hd命名的,第一个设备是hda,第二个是hdb。3)每个硬盘可以最多有四个主分区,一个扩展分区,扩展分区可以再分为多个逻辑分区。表示挂载的类型,挂载的数据ISO,和挂载点。
博客
XAMPP任意命令执行提升权限漏洞(CVE-2020-11107) 漏洞加固指南
10-27 1662
XAMPP任意命令执行提升权限漏洞(CVE-2020-11107)漏洞详细。任意命令执行提升权限漏洞(CVE-2020-11107)
博客
SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)漏洞加固指南
10-25 8038
协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷。它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。整改时需要业务管理人员进行测试,测试前需要做好相关配置文件和数据的备份,以防止出现影响业务系统进行回退。版本,默认SSL密码算法是 ALL:!
博客
Linux操作系统安全加固指导
10-24 5297
linux加固指南(超详细版)
博客
Apache Tomcat 安全漏洞加固指南
10-24 3480
存在安全漏洞,该漏洞源于如果一个HTTP/2客户端连接到超过约定的最大数量的并发流连接(违反HTTP / 2协议),它是可能的后续请求在该连接可以包含HTTP头信息,包括HTTP / 2伪头,从先前的请求而不是标题。以下产品及版本受到影响:10.0.0-M1版本至10.0.0-M7版本, 9.0.0.M1版本至9.0.37版本,8.5.0版本至8.5.57版本。将旧版本的备份的配置文件以及项目copy到新版本中。关掉旧版本的tomcat,启动新本本的tomcat。备份当前版本的配置文件到新建的目录中。
博客
SMB服务远程代码执行漏洞(CVE-2020-0796)加固指南
10-24 3380
1SMB服务远程代码执行漏洞(CVE-2020-0796)高Windows。
博客
Windows RDP远程代码执行高危漏洞加固指南
10-20 1055
序号漏洞类型风险等级漏洞主机( 操作系统及版本)1Windows RDP远程代码执行高危漏洞高Windows。
博客
Tomcat远程代码执行漏洞(CVE-2017-12615)加固指南
10-19 956
b.升级Tomcat版本到Tomcat8或Tomcat9。远程代码执行漏洞(CVE-2017-12615)
博客
Windows远程代码执行漏洞(CVE-2020-16898) 高危漏洞加固指南
10-17 1765
序号漏洞类型风险等级漏洞主机( 操作系统及版本)1Windows TCP/IP远程代码执行漏洞(CVE-2020-16898)高Windows 漏洞详细当Windows TCP / IP堆栈不正确地处理使用选项类型25(递归DNS服务器选项)且长度字段值为偶数的ICMPv6路由器广告数据包时,存在一个远程执行代码漏洞。在此选项中,长度以8个字节为增量进行计数,因此长度为3的RDNSS选项的总长度应为24个字节。该选项本身包含五个字段:IPv6递归DNS服务器的类型,长度,保留,生存时间和地址。前四个
博客
微软证书漏洞CVE-2020-0601 高危漏洞加固指南
10-14 792
1微软证书漏洞CVE-2020-0601高Windows。
博客
WEB应用安全扫描流程分享
10-14 1292
WEB应用安全扫描流程分享、APPSCAN使用方法
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值