本文提供了关于服务器和数据库的一系列安全强化建议,包括设置复杂的口令策略、配置口令有效期、登录失败处理机制、禁止共享账户、限制su和sudo权限、关闭不必要的端口、设立不同角色的管理员账户以及启用DDoS防护措施。这些措施旨在提高系统的安全性,防止非授权访问和潜在的攻击。
1、安全计算环境
1)数据库、服务器未配置口令复杂度策略。
OS
系统编辑文件/etc/pam.d/system-auth,是否存在如下配置:
password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8
Mysql
show variables like 'plugin_dir';
show plugins;
安装密码插件
install plugin validate_password soname 'validate_password.so';
密码策略参数
mysql>show variables like 'validate%';
#永久生效
[mysqld]
plugin-load-add=validate_password.so
#服务器在启动时加载插件,并防止在服务器运行时删除插件。
validate-password=FORCE_PLUS_PERMANENT
卸载插件
uninstall plugin connection_control_failed_login_attempts
建议强制配置口令的复杂度策略(复杂度包含字母大小写,数字,特殊字符,密码长度八位以上),防止口令被轻易破解。
2)数据库、服务器未配置口令有效期策略。
建议配置数据库口令有效期策略,最短更改时间及最长更改时间(最长建议三个月,最短时间不要是0天)。
OS
查看文件/etc/login.defs( more /etc/login.defs),检查如下参数值是否满足要求:
PASS_MAX_DAYS 90 #新建用户的密码最长使用天数不大于90
PASS_MIN_DAYS 10 #新建用户的密码最短使用天数为10
PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数为7
mysql
alter user 'root'@'%' password expire interval 90 day;
3)服务器、数据库未配置登录失败处理及连接超时自动退出策略。
建议配置登录失败处理策略,防止恶意人员暴力破解账户口令。并配置登录连接超时策略,降低设备被非授权访问的风险。
OS
编辑文件/etc/pam.d/system-auth
auth required pam_tally2.so deny=5 onerr=fail no_magic_root unlock_time=180
mysql
#登录错误次数限制插件
install plugin connection_control soname "connection_control.so";
#为了把错误次数记录到表中
install plugin connection_control_failed_login_attempts soname 'connection_control.so';
#设置策略
set global connection_control_failed_connecti
最低0.47元/天 解锁文章
扫一扫
2303
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
