Mysql安全基线

已于 2022-05-16 19:11:08 修改
阅读量1.2k 收藏 2
点赞数
分类专栏: 信息安全 文章标签: mysql 安全基线
于 2022-05-13 14:41:49 首次发布
原文链接:https://blog.youkuaiyun.com/qq_36531487/article/details/122193888
版权

Mysql安全基线

支持版本:Mysql5.1-5.7

访问控制

1.高危-禁用local-infile选项

描述:
禁用local_infile选项会降低攻击者通过SQL注入漏洞器读取敏感文件的能力

加固建议:
编辑Mysql配置文件<conf_path>/my.cnf,在[mysqld] 段落中配置local-infile参数为0,并重启mysql服务:
local-infile=0

2.高危-为MySQL服务使用专用的最低特权账户

描述:
使用最低权限账户运行服务可减小MySQL天生漏洞的影响。受限账户将无法访问与MySQL无关的资源,例如操作系统配置。

加固建议:
使用非root和非sudo权限用户启动MySQL服务

3.高危-禁止使用–skip-grant-tables选项启动MySQL服务

描述:
使用此选项,会导致所有客户端都对所有数据库具有不受限制的访问权限。

加固建议:
编辑Mysql配置文件<conf_path>/my.cnf,删除skip-grant-tables参数,并重启mysql服务

身份鉴别

4.高危-确保没有用户配置了通配符主机名

描述:
避免在主机名中只使用通配符,有助于限定可以连接数据库的客户端,否则服务就开放到了公网

加固建议:
执行SQL更新语句,为每个用户指定允许连接的host范围。

  1. 登录数据库,执行use mysql;
  2. 执行语句select user,Host from user where Host='%'; – 查看HOST为通配符的用户;
  3. 删除用户或者修改用户host字段,删除语句:DROP USER 'user_name'@'%';
    更新语句:update user set host = <new_host> where host = '%';
    4.执行SQL语句:
    OPTIMIZE TABLE user;
    flush privileges;

5.高危-匿名登录检查

描述:
检查MySQL服务是否允许匿名登录

加固建议:
登录MySQL数据库,执行以下命令删除匿名账户:

 delete from user where user='';
flush privileges;

6.高危-数据库登录弱口令

描述:
若系统使用弱口令,存在极大的被恶意猜解入侵风险,需立即修复。

加固建议:
登录mysql数据库;
查看数据库用户密码信息:SELECT user, host, authentication_string FROM user; 部分版本查询命令为:SELECT user, host, password FROM user;
根据查询结果及弱密码告警信息修改具体用户的密码:SET PASSWORD FOR '用户名'@'主机' = PASSWORD('新密码');
执行刷新命令:flush privileges;
新口令应符合复杂性要求:

  1. 长度8位以上
  2. 包含以下四类字符中的三类字符:
  • 英文大写字母(A 到 Z)
  • 英文小写字母(a 到 z)
  • 10 个基本数字(0 到 9)
  • 非字母字符(例如 !、$、#、%、@、^、&)
  1. 避免使用已公开的弱口令,如:abcd.1234 、admin@123等

7.中危-确保MYSQL_PWD环境变量未设置

描述:
MYSQL_PWD环境变量的使用意味着MYSQL凭证的明文存储,极大增加MySQL凭据泄露风险。

加固建议:
删除系统环境变量中MySQL密码(MYSQL_PWD)配置

服务配置

8.高危-删除’test’数据库

描述:
测试数据库可供所有用户访问,并可用于消耗系统资源。删除测试数据库将减少MySQL服务器的攻击面。

加固建议:
登录数据库执行以下SQL语句删除test数据库:

DROP DATABASE test;
flush privileges;

9.高危-禁用symbolic-links选项

描述:
禁用符号链接以防止各种安全风险

加固建议
编辑Mysql配置文件<conf_path>/my.cnf,在[mysqld] 段落中配置symbolic-links=0,5.6及以上版本应该配置为skip_symbolic_links=yes,并重启mysql服务。

10.中危-修改默认3306端口

描述:
避免使用熟知的端口,降低被初级扫描的风险

加固建议:
编辑<conf_path>/my.cnf文件,[mysqld] 段落中配置新的端口参数,并重启MySQL服务:port=3506

入侵防范

11.中危-版本操作安全漏洞

描述:
mysql以下版本存在安全漏洞,容易被入侵:

  1. mysql5.6.35以下的5.6.x版本以及5.7.17以下的5.7.x版本存在远程安全漏洞。https://avd.aliyun.com/detail?id=AVD-2017-3599
  2. mysql5.1.63之前的5.1.x版本,5.5.24之前的5.5.x版本,5.6.6之前的5.6.x版本,Mariadb5.1.62之前的5.1.x版本,5.2.12之前的5.2.x版本,5.3.6之前的5.3.x版本,5.5.23之前的5.5.x版本,均存在身份认证绕过漏洞。https://avd.aliyun.com/detail?id=AVD-2012-2122
  3. mysql5.5.52及之前的版本,5.6.x至5.6.33版本,5.7.x至5.7.15版本;MariaDB 5.5.51之前的版本,10.0.27之前的10.0.x版本,10.1.17之前的10.1.x版本;Percona Server 5.5.51-38.1之前的版本,5.6.32-78.0之前的5.6.x版本,5.7.14-7之前的5.7.x版本,均存在远程代码执行/权限提升漏洞。https://avd.aliyun.com/detail?id=AVD-2016-6662

加固建议:
更新服务至最新版本,完成漏洞的修复,这些漏洞基于未授权访问或者服务存在弱口令,完成访问认证加固可降低被入侵风险。

安全审计

12.高危-确保配置了log-error选项

描述:
启用错误日志可以提高检测针对mysql和其他关键消息的恶意尝试的能力,例如,如果错误日志未启用,则连接错误可能会被忽略。

加固建议
编辑Mysql配置文件<conf_path>/my.cnf,在[mysqld_safe] 段落中配置log-error参数,<log_path>代表存放日志文件路径,如:/var/log/mysqld.log,并重启mysql服务:
log-error=<log_path>

13.高危-确保log-raw选项没有配置为ON

描述:
当log-raw记录启用时,有权访问日志文件的人可能会看到纯文本密码。

加固建议:
编辑Mysql配置文件<conf_path>/my.cnf,删除log-raw参数,并重启mysql服务

MySQL基础篇】数据导出导入权限与local_infile参数
Sebastien23的博客
02-17 1万+
MySQL基础篇】数据导出导入权限与local_infile参数问题背景数据导出测试创建测试库(在主库进行)测试数据导出(在从库进行)测试数据导入(在主库进行) 问题背景 MySQL高可用集群架构中,应用需要使用select ... into outfile和load data [local] infile来进行数据导入导出操作。其中,数据导出(只涉及读操作)发生在只读Slave节点,通过localhost连入数据库;数据导入(涉及读写操作)发生在Master节点,通过集群vip连入数据库。 DB
《网络安全自学教程》- MySQL安全配置,MySQL安全基线检查加固
热门推荐
wangyuxiang946的博客
07-23 3万+
MySQL基线检查,基线配置,安全加固
WEB渗透Linux提权篇-MYSQL漏洞提权
qq_59468567的博客
09-06 707
版本 MariaDB < 5.5.52 < 10.1.18 < 10.0.28 MySQL
MySQL安全配置基线
Innocence_0的博客
08-15 918
数据库备份就是为了防止原数据丢失,保证数据的安全。当数据库因为某些原因造成部分或者全部数据丢失后,备份文件可以帮我们找回丢失的数据。因此,数据备份是很重要的工作。一般可采用本地备份和网络备份的形式,可采用MySQL本身自带的mysqldump的方式和直接复制备份形式。定期对mysql进行异地备份。MySQL 初始化后会自动生成空用户和 test 库,以进行安装时的测试,这些都是不需要的,有安全隐患,所以需要将他们全部删除。然后将测试数据库删除。依次检查所列出的账户是否为必要账户,删除无用户或过期账户。
数据库基线检查与安全加固,从零基础到精通,收藏这篇就够了!
最新发布
yy1715713348的博客
03-13 302
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要。,我也为大家准备了视频教程,其中一共有。要学习一门新的技术,作为新手一定要。的事情了,而工作绕不开的就是。当你自学到这里,你就要开始。大家最喜欢也是最关心的。
centos升级mysql5.6漏洞修复
qq_36378416的博客
05-12 935
一定要保留和备份原来的mysql 数据库服务及 数据,只有新的mysql服务启动并导入数据成功后,在进行服务替换操作。确保本机原来的服务停止,新的服务占用3308端口,配置和原来保持一致。新服务可用后,将开机自启服务替换为新的服务。
等级保护测评之MySQL安全漏洞
Wmh的博客
10-09 2263
等级保护测评之MySQL安全漏洞
Linux防御加固
m0_62511581的博客
07-01 6593
Linux配置文件安全加固
7-1 MySQL安全基线检查
weixin_43263566的博客
10-26 1621
安全基线是一个信息系统的最小安全保证即该信息系统最基本需要满足的安全要求。它是在安全付出成本与所能够承受的安全风险之间进行平衡的合理分界线。不满足系统最基本的安全需求,将无法承受由此带来的安全风险。同时,过度满足非基本安全需求也会导致超额安全成本的付出。因此,构造信息系统安全基线已经成为系统安全工程的首要步骤,同时也是进行安全评估和解决信息系统安全性问题的先决条件。总结起来,安全基线是确保信息系统最低安全要求的保证,它在安全成本和风险承受能力之间找到了平衡点。
阿里云标准-MySQL安全基线检查文档
05-10
### 阿里云标准-MySQL安全基线检查知识点详解 #### 一、避免使用通配符主机名进行身份鉴别 **重要性**: 使用通配符(如`%`)来标识用户允许连接的主机范围可能导致数据库服务对外开放,增加了安全风险。 **检查...
Mysql安全基线检查
Bertram的博客
03-31 1263
1.禁用local-infile选项 禁用local_infile选项会降低攻击者通过SQL注入漏洞器读取敏感文件的能力 加固建议 编辑Mysql配置文件<conf_path>/my.cnf, 在[mysqld] 段落中配置local-infile参数为0,并重启mysql服务: local-infile=0 2.删除’test’数据库 测试数据库可供所有用户访问,并可用于消耗系统资源。删除测试数据库将减少MySQL服务器的攻击面。 加固建议 登录数据库执行以下SQL语句删除test数据库:
MYSQL安全基线社区版
11-29
在本篇文章中,我们将详细解读MySQL安全基线社区版的重要性和各个方面的实施策略。社区版安全基线主要关注的领域包括操作系统级别的配置、MySQL安装和规划、文件权限和所有权、通用安全措施以及MySQL权限的管理。 ...
mysql数据库的一些安全配置
xiaoyun2019的博客
12-03 648
为了更有效地改进root用户的安全性,另一种好方法是为其改名。为此,你必须更新表用户中的mySQL数据库。在MySQL控制台中进行操作: USE mysql; update user SET user=“another_username” where user=“root”; FLUSH PRIVILEGES; 然后,通过Linux访问MySQL控制台就要使用新用户名了: $ mysq...
linux配置核查MySQL 配置规范 (Linux)_S3A3G3
冰恋云的专栏
03-04 1206
例如:只给用户user001的数据库sd_zao的 select,update,create的权限密码是MysqlDBSyld37。(1) 在mysql的安装目录下,修改my.cnf配置文件,增加general_log = 1。重新打开命令/etc/init.d/mysql start --local-infile=1。(2) 重启mysql,可执行命令/etc/init.d/mysql restart。方法一:在my.cnf的mysql字段下加local-infile=0。2.检查是否按用户分配账号。
MySQL变量:local_infile
记事本
04-10 2万+
local_infile服务器变量指示能否使用load data local infile命令。该变量默认为ON。 该变量为OFF时,禁用客户端的load data local infile命令。 Sql代码 mysql>showcreatetabletest.t\G ***************************1.row**********...
应用CVE: 最新的Mysql高危漏洞介绍
qq_44005305的博客
02-22 951
MySQL官方最近做了一个大的安全漏洞补丁,修复了25 个安全漏洞,关于这些漏洞细节官方和媒体目前为止还有比较少的介绍和分析文章。在此笔者搜集下相关的详细,从邮件讨论组趴到一些细节信息,在此介绍一下几个比较重要的、高危的漏洞。包括CVE-2018-2696,CVE-2018-2591和CVE-2018-2562。认证长密码拒绝式攻击。
mysql8.0配置文件部分详解
qq_2331233079的博客
05-15 4956
文章目录1、local_infile2、secure-file-priv3、 log_timestamps4、default-time_zone5、wait_timeout6、default_storage_engine7、default_authentication_plugin8、max_allowed_packet9、max_connections10、open_files_limit11、log_bin_trust_function_creators 1、local_infile [mysqld]
skip-grant-tables 参数很危险!!
六月闻君
09-16 315
skip-grant-tables 参数很危险 自己练习的MySQL,居然被人提醒数据库有风险,可以任意登录。 自己都不相信会有这种事情,肯定设置密码了。 mysql -u999999 -p 随便用户,没有密码就可以登录了!!! [root@mysql ~]# mysql -u999999 -p Enter password: Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 296
MySQL曝中间人攻击Riddle漏洞可致用户名密码泄露的处理方法
米克源码的博客
01-29 627
漏洞是一个非常危险的漏洞,因为首先它会影响MySQL – 非常流行的SQL数据库 – 其次会影响SSL连接,根据SSL的定义,它理应是安全的。“有趣的是,当MySQL服务器拒绝验证用户时,MySQL客户端不会报告任何与SSL相关的错误,而是会报告服务器发送的未加密的错误消息。“如果你不是Oracle客户的话,向他们报告漏洞是没有用的(即使是与安全相关的漏洞)。Riddle漏洞的编号为CVE-2017-3305,当MySQL 5.55.6向服务器发送数据,包括用户名密码时,攻击者可以捕获它们。
中间件mysql安全基线自动检查脚本
07-20
### 回答1: 中间件MySQL安全基线自动检查脚本是一种自动化工具,用于检查MySQL数据库的安全配置是否符合基线标准。这种脚本通常由数据库管理员使用,以确保数据库系统的安全性和完整性。以下是关于中间件MySQL安全基线自动检查脚本的一些要点: 首先,中间件MySQL安全基线自动检查脚本可以检查数据库服务器的一系列安全设置,例如访问控制、密码策略、日志记录、网络安全等。脚本会自动扫描数据库系统的配置文件和参数设置,并与安全基线相比较,给出合规性评估报告。 其次,这种脚本提供了一种自动化的方式来评估数据库的安全性。传统的手动检查工作通常费时费力,并且容易出现遗漏或错误。而安全基线自动检查脚本可以快速、准确地检查数据库的多个安全配置,从而提高了安全性和效率。 此外,这种脚本还可以根据实际需求进行定制化配置。例如,可以设置不同的基线标准、安全级别或策略,以满足特定的安全要求。管理员可以根据自己的需求选择执行相应的检查项,并根据报告结果进行相应的调整和修复。 最后,中间件MySQL安全基线自动检查脚本还可以与其他安全工具和监控系统集成。它能够生成详细的检查报告,包括问题描述、解决方案和建议,帮助管理员更好地理解和解决安全问题。此外,还可以将脚本与自动化脚本或工作流程集成,实现自动检查和修复的流程化管理。 总结来说,中间件MySQL安全基线自动检查脚本是一种非常有用的工具,可以自动化地检查数据库系统的安全配置,提高数据库系统的安全性和合规性,并节省管理员的时间和精力。 ### 回答2: 中间件MySQL安全基线自动检查脚本是一种能够自动检查MySQL数据库安全性的工具。它可以通过检查数据库的配置和操作是否符合安全标准,来评估数据库的安全性水平。 该脚本通常包含以下检查项: 1. 访问控制:检查是否存在弱密码、禁用了匿名访问、只允许了合法的远程连接等。 2. 权限设置:检查数据库用户的权限是否合理,并且没有给予不必要的特权。 3. 数据备份与恢复:检查备份与恢复策略是否正确,并且备份数据是否加密和存储在安全的位置。 4. 日志监控与审计:检查是否启用了日志功能,日志是否记录关键操作,并且是否有定期审计机制。 5. 数据加密:检查是否启用了数据库数据的加密功能,以保护敏感数据的安全性。 6. 防火墙设置:检查数据库服务器是否配置了防火墙,限制了对数据库的非法访问。 7. 更新与升级:检查数据库是否安装了最新的安全补丁,以修复已知的安全漏洞。 通过使用中间件MySQL安全基线自动检查脚本,可以快速、准确地评估数据库安全性,并及时发现潜在的安全风险。同时,该脚本也可以为数据库管理员提供定期的安全检查报告,帮助他们了解数据库的安全状况,并采取相应的措施来加强数据库的安全防护。 ### 回答3: 中间件MySQL安全基线自动检查脚本是一种自动化工具,用于评估和检查MySQL数据库的安全配置是否符合最佳实践和安全标准。该脚本可以帮助管理员快速发现和修复数据库中的安全漏洞和配置问题,从而提高数据库的安全性。 MySQL数据库作为一种常用的关系型数据库管理系统,在企业和个人中广泛使用。然而,由于配置错误或不当的安全设置,数据库可能暴露在各种攻击和威胁之下。因此,使用安全基线自动检查脚本对MySQL进行检查和评估是非常重要的。 这个脚本的工作原理是通过扫描MySQL数据库的配置文件和运行状态,检查是否存在以下问题: 1. 弱密码:检查数据库用户的密码强度是否符合要求,并提出改进建议。 2. 未授权访问:检查是否存在未授权的访问权限,比如未删除默认用户、未禁用不必要的用户等。 3. 不安全的网络访问:检查MySQL是否以默认端口运行,并建议更改默认端口,以减少被扫描和攻击的风险。 4. 数据备份和恢复:检查数据库备份和恢复策略是否合理,并建议改善。 5. 日志记录和审计:检查是否启用了日志记录和审计功能,以便及时发现和应对安全事件。 6. 数据库补丁和升级:检查是否有待安装的补丁,并提醒管理员及时更新数据库软件。 该脚本还可以生成详细的检查报告,包括问题的严重性级别和优先级,以帮助管理员有针对性地解决数据库的安全问题。 总而言之,中间件MySQL安全基线自动检查脚本可以帮助管理员快速评估和提升MySQL数据库的安全性,保护数据库不受恶意攻击和未授权访问的威胁。在企业和个人使用MySQL数据库时,应定期运行该脚本并根据检查结果采取相应的安全措施,以确保数据库的安全和稳定运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值