MySql数据库安全配置基线(共15页)

1、MysqlMysql 数据库系统安全配置基线数据库系统安全配置基线版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人V2.0创建2012 年 4 月备注：备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目目 录录第第 1 章章概述概述.41.1目的.41.2适用范围.41.3适用版本.41.4实施.41.5例外条款.4第第 2 章章帐号帐号.52.1帐号安全.52.1.1禁止 Mysql 以管理员帐号权限运行.52.1.2避免不同用户间共享帐号*.52.1.3删除无关帐号*.6第第 3 章章口令口令.83.1口令安全.83.1.1不使用默

2、认密码和弱密码.83.2授权.83.2.1分配用户最小权限*.8第第 4 章章日志日志.104.1日志审计.104.1.1配置日志功能*.10第第 5 章章其他其他.125.1其他配置.125.1.1安装了最新的安全补丁*.125.1.2如果不需要，应禁止远程访问*.125.1.3可信 IP 地址访问控制*.135.1.4连接数设置.14第第 6 章章评审与修订评审与修订.15第第 1 章章概述概述1.1 目的目的本文档旨在指导数据库管理人员进行 Mysql 数据库系统的安全配置。1.2 适用范围适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。1.3 适用版本适用版本

3、Mysql 数据库系统。1.4 实施实施1.5 例外条款例外条款第第 2 章章帐号帐号2.1 帐号安全帐号安全2.1.1 禁止禁止 Mysql 以管理员帐号权限运行以管理员帐号权限运行安全基线项安全基线项目名称目名称数据库管理系统 Mysql 远程登录安全基线要求项安全基线编安全基线编号号SBL-Mysql-02-01-01 安全基线项安全基线项说明说明 以普通帐户安全运行 mysqld，禁止 mysql 以管理员帐号权限运行。 检测操作步检测操作步骤骤1、参考配置操作、参考配置操作Unix 下可以通过在/etc/f 中设置：mysql.serveruser=mysql2、补充操作说明、补充操

4、作说明基线符合性基线符合性判定依据判定依据1、判定条件、判定条件各种操作系统下以管理员权限运行。Unix 下禁止以 root 帐号运行 mysqld;2、检测操作、检测操作检查进程属主和运行参数是否包含-user=mysql 类似语句：# ps ef | grepmysqld#grep -i user /etc/f备注备注2.1.2 避免不同用户间共享帐号避免不同用户间共享帐号*安全基线项安全基线项目名称目名称数据库管理系统 Mysql 用户属性控制策略安全基线要求项安全基线编安全基线编号号SBL-Mysql-02-01-02 安全基线项安全基线项说明说明 应按照用户分配帐号，避免不同用户间共

5、享帐号检测操作步检测操作步骤骤1 1参考配置操作参考配置操作/创建用户 mysql mysql insert into mysql.user(Host,User,Password,ssl_cipher,x509_issuer,x509_sub ject) values(localhost,pppadmin,password(passwd),); 这样就创建了一个名为：phplamp 密码为：1234 的用户。 然后登录一下。 mysqlexit; mysql -u phplamp -p 输入密码 mysql登录成功 2 2补充操作说明补充操作说明基线符合性基线符合性判定依据判定依据1.1.判定

6、条件判定条件不用名称的用户可以连接数据库2.2.检测操作检测操作使用不同用户连接数据库备注备注手工检查2.1.3 删除无关帐号删除无关帐号*安全基线项安全基线项目名称目名称数据库管理系统 Mysql 帐号管理安全基线要求项安全基线编安全基线编号号SBL-Mysql-02-01-03 安全基线项安全基线项说明说明 应删除或锁定与数据库运行、维护等工作无关的帐号检测操作步检测操作步骤骤1 1参考配置操作参考配置操作DROP USER 语句用于删除一个或多个 MySQL 账户。要使用 DROP USER，必须拥有 mysql 数据库的全局 CREATE USER 权限或 DELETE 权限。账户名称

7、的用户和主机部分与用户表记录的 User 和 Host 列值相对应。使用 DROP USER，您可以取消一个账户和其权限，操作如下：DROP USER user;该语句可以删除来自所有授权表的帐户权限记录。2 2补充操作说明补充操作说明要点：DROP USER 不能自动关闭任何打开的用户对话。而且，如果用户有打开的对话，此时取消用户，则命令不会生效，直到用户对话被关闭后才生效。一旦对话被关闭，用户也被取消，此用户再次试图登录时将会失败。基线符合性基线符合性判定依据判定依据检测操作：检测操作：mysql 查看所有用户的语句 输入指令 select user();依次检查所列出的账户是否为必要账户

8、，删除无用户或过期账户。注：无关的帐号主要指测试帐户、共享帐号、长期不用帐号（半年以上不用）等备注备注手工检查第第 3 章章口令口令3.1 口令安全口令安全3.1.1 不使用默认密码和弱密码不使用默认密码和弱密码安全基线项安全基线项目名称目名称数据库管理系统 Mysql 账户口令安全基线要求项安全基线编安全基线编号号SBL-Mysql-03-01-01 安全基线项安全基线项说明说明 检查帐户默认密码和弱密码, 口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步检测操作步骤骤1 1参考配置操作参考配置操作

9、修改帐户弱密码如要修改密码，执行如下命令：mysql update user set password=password(test!p3) where user=root;mysql flush privileges;2 2补充操作说明补充操作说明基线符合性基线符合性判定依据判定依据1.1.判定条件判定条件密码长度至少 8 位，并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。2.2.检测操作检测操作检查本地密码：(注意，管理帐号 root 默认是空密码)mysql use mysql;mysql select Host,User,Password,Select_priv,Gra

10、nt_priv from user;备注备注3.2 授权授权3.2.1 分配用户最小权限分配用户最小权限*安全基线项安全基线项目名称目名称数据库管理系统 Mysql 权限分配策略安全基线要求项安全基线编安全基线编号号SBL-Mysql-03-02-01 安全基线项安全基线项说明说明 在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。检测操作步检测操作步骤骤1、 参考配置操作参考配置操作合理设置用户权限，撤销危险授权。 2、 补充操作说明补充操作说明基线符合性基线符合性判定依据判定依据1 判定条件判定条件确保数据库没有不必要的或危险的授权2 检测操作检测操作查看数据库授权情况：m

11、ysql use mysql;mysql select * from user;mysqlselect * from db;mysqlselect * from host;mysqlselect * from tables_priv;mysqlselect * from columns_priv;回收不必要的或危险的授权，可以执行 revoke 命令：mysql help revokeName: REVOKEDescription:Syntax:REVOKEpriv_type (column_list) , priv_type (column_list) . ON object_type *

12、| *.* | db_name.* | db_name.tbl_name | tbl_name | db_name.routine_name FROM user , user .备注备注手工检查第第 4 章章日志日志4.1 日志审计日志审计4.1.1 配置日志功能配置日志功能*安全基线项安全基线项目名称目名称数据库管理系统 Mysql 配置日志功能安全基线要求项安全基线编安全基线编号号SBL-Mysql-04-01-01 安全基线项安全基线项说明说明 数据库应配置日志功能，检测操作步检测操作步骤骤mysql 有以下几种日志： 错误日志： -log-err 查询日志： -log （可选） 慢查询

13、日志: -log-slow-queries （可选） 更新日志: -log-update 二进制日志： -log-bin 在 mysql 的安装目录下，打开 my.ini,在后面加上上面的参数，保存后重启mysql 服务就行了。 例如： #Enter a name for the binary log. Otherwise a default name will be used. #log-bin= #Enter a name for the query log file. Otherwise a default name will be used. #log= #Enter a name f

14、or the error log file. Otherwise a default name will be used. log-error= #Enter a name for the update log file. Otherwise a default name will be used. #log-update= 上面只开启了错误日志，要开其他的日志就把前面的“#”去掉1、 补充操作说明show variables like log_%;查看所有的 log 命令 2、 show variables like log_bin;查看具体的 log 命令基线符合性基线符合性判定依据判定依

15、据1 判定条件判定条件启用审核记录对数据库的操作，便于日后检查。2 检测操作检测操作打开/etc/f 文件，查看是否包含如下设置：mysqldlog = filename备注备注手工检查第第 5 章章其他其他5.1 其他配置其他配置5.1.1 安装了最新的安全补丁安装了最新的安全补丁*安全基线项安全基线项目名称目名称数据库管理系统 Mysql 补丁安全基线要求项安全基线编安全基线编号号SBL-Mysql-05-01-01 安全基线项安全基线项说明说明 系统安装了最新的安全补丁 （注：在保证业务及网络安全的前提下，经过兼容性测试后）检测操作步检测操作步骤骤1、 参考配置操作参考配置操作下载并安装

16、最新 mysql 安全补丁，2、 补充操作说明补充操作说明安全警报和补丁下载网址是基线符合性基线符合性判定依据判定依据1 判定条件判定条件确保数据库为企业版，并且安装了最新安全补丁。如果是不安全的社区版，建议替换为企业版(收费)2 检测操作检测操作使用如下命令查看当前补丁版本：mysql SELECT VERSION()备注备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。5.1.2 如果不需要，应禁止远程访问如果不需要，应禁止远程访问*安全基线项安全基线项目名称目名称数据库管理系统 Mysql 远程访问安全基线要求项安全基线编安全基线编号号SBL-Mysql-05-01-02

17、安全基线项安全基线项说明说明 禁止网络连接，防止猜解密码攻击，溢出攻击和嗅探攻击。 （仅限于应用和数据库在同一台主机的情况）检测操作步检测操作步骤骤1、 参考配置操作参考配置操作如果数据库不需远程访问，可以禁止远程 tcp/ip 连接, 通过在 mysqld 服务器中参数中添加 -skip-networking 启动参数来使 mysql 不监听任何 TCP/IP 连接，增加安全性。2、 补充操作说明补充操作说明基线符合性基线符合性判定依据判定依据1 判定条件判定条件远程无法连接2 检测操作检测操作#cat /etc/f#ps -ef|grep -i mysql或从客户机远程 telnet my

18、sqlserver 3306备注备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。5.1.3可信可信 IP 地址访问控制地址访问控制*安全基线项安全基线项目名称目名称数据库管理系统 Mysql 访问策略安全基线要求项安全基线编安全基线编号号SBL-Mysql-05-01-03 安全基线项安全基线项说明说明 通过数据库所在操作系统或防火墙限制，只有信任的 IP 地址才能通过监听器访问数据库。检测操作步检测操作步骤骤1、 参考配置操作参考配置操作执行命令：mysql GRANT ALL PRIVILEGES ON db.*- - TO 用户名IP 子网/掩码;只有通过指定 IP 地址段的用户才可以登录2、 补充操作说明基线符合性基线符合性判定依据判定依据1、判定条件、判定条件在非信任的客户端以数据库账户登陆被提示拒绝。2、检测操作、检测操作用户从其它子网登录，将被拒绝3、补充说明、补充说明备注备注手工检查5.1.4连接数设置连接数设置安全基线项安全基线项目名称目名称数据库管理系统 Mysql 连接数安全基线要求项安全基线编安全基线编号号SBL-Mysql-05-01-04 安全基线项安全基线项说明说明 根据机器性能和业务需求，设制最大