MySQL数据库系统安全配置基线检查指导文件

MySQL数据库系统安全配置基线潍坊农信TIME\@"yyyy年M月"2023年8月

目录1 概述 31.1目的 31.2适用范围 31.3适用版本 31.4安全基线说明 32 账号管理、认证授权 42.1修改root口令、删除空口令账户 42.2删除默认数据库和数据库用户 52.3密码管理 62.4用户目录权限限制 83 设备管理 93.1禁止远程连接数据库 93.2连接超时退出设置 103.3限制连接用户的数量 113.4清除历史命令 124 日志配置 134.1启用日志记录功能 135 设备其他安全要求 145.1安装补丁 14MySQL数据库系统安全配置基线概述1.1目的本文档规定了潍坊农信所维护管理MySQL数据库应当遵循的数据库系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行MySQL数据库的安全合规性检查和配置。1.2适用范围本配置标准的使用者包括：数据库管理员本配置标准适用的范围包括：维护管理MySQL数据库。1.3适用版本MySQL1.4安全基线说明此安全基线主要包括帐户管理、认证授权、设备管理、日志配置、其他安全要求等几方面内容，基线内容包含10项安全基线。账号管理、认证授权2.1修改root口令、删除空口令账户安全基线项目名称修改root口令、删除空口令账户安全基线编号MySQL-01安全基线项说明缺省安装的MySQL的root用户是空密码，为了安全起见，必须修改为强密码,并且删除不必要的空口令账户，提高数据库的安全性。检测操作步骤以管理员用户登录到数据库，通过：mysql>selectuser,host,passwordfrommysql.userwhereuser='root';查看root用户是否是空口令。基线符合性判定依据存在唯一的root用户，并且密码通过MD5加密，即为符合。加固标准方法一：直接在操作系统终端中修改，mysqladmin-uroot-ppassword新密码；方法二：以管理员身份登录到数据库，直接修改user表，mysql>updateusersetpassword=password(‘新密码’)whereuser=’root’;mysql>flushprivileges；（强制刷新内存授权表）方法三：删除数据库不必要的空口令账户，以管理员身份登录到数据库。mysql>usemsyql；mysql>deleteuserfrommysql.userwherepassword='';mysql>flushprivileges；（强制刷新内存授权表）等级保护基本要求主机：身份鉴别（S3），b）应对登录操作系统和数据库系统的用户进行身份标识和鉴别；检查结果□符合□不符合整改结果备注2.2删除默认数据库和数据库用户安全基线项目名称删除默认数据库和数据库用户安全基线编号MySQL-02安全基线项说明一般情况下，MySQL数据库安装在本地，并且也只需要本地的php脚本对mysql进行读取，所以很多用户不需要，尤其是默认安装的用户。MySQL初始化后会自动生成空用户和test库，进行安装的测试，这会对数据库的安全构成威胁，有必要全部删除，最后的状态只保留单个root即可，当然以后根据需要增加用户和数据库。检测操作步骤以管理员用户登录到数据库，通过：mysql>showdatabases查看存在的数据库；mysql>selectuserfromuserwherenot(user='root');查看数据库存在的非root用户基线符合性判定依据test数据库已删除，并且不存在无关账户，即为符合。加固标准以管理员身份登录到数据库，通过：mysql>dropdatabasetest；（删除test数据库）mysql>deleteuserfromuserwherenot(user='root');（删除非root用户）等级保护基本要求主机：访问控制（S3），d）应禁用或严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令。检查结果□符合□不符合整改结果备注2.3密码管理安全基线项目名称密码管理安全基线编号MySQL-03安全基线项说明密码是数据库安全管理的一个很重要因素，不要将纯文本密码保存到数据库中。如果你的计算机有安全危险，入侵者可以获得所有的密码并使用它们。相反，应使用MD5()、SHA1()或单向哈希函数。也不要从词典中选择密码，有专门的程序可以破解它们，请选用至少八位，由字母、数字和符号组成的强密码。在存取密码时，使用mysql的内置函数password（）的sql语句，对密码进行加密后存储。检测操作步骤以管理员用户登录到数据库，通过：mysql>selectuser,host,passwordfrommysql.user;查看是否存在明文密码。基线符合性判定依据不存在明文密码，即为符合。加固标准将明文密码通过password（）内置函数，修改为加密密码。例：mysql>updateusersetpassword=password("新密码")whereuser='用户名';等级保护基本要求无检查结果□符合□不符合整改结果备注2.4用户目录权限限制安全基线项目名称用户目录权限限制安全基线编号MySQL-04安全基线项说明默认的mysql是安装在/usr/local/mysql，而对应的数据库文件在/usr/local/mysql/var目录下，因此，必须保证该目录不能让未经授权的用户访问后把数据库打包拷贝走了，所以要限制对该目录的访问。确保mysqld运行时，只使用对数据库目录具有读或写权限的linux用户来运行。检测操作步骤以root用户登录到操作系统，分别查看mysql主目录和数据库目录的权限。基线符合性判定依据mysql主目录只有root用户可以操作，mysql数据库目录隶属于mysql用户，即为符合。加固标准#chown-Rroot/usr/local/mysql/注释：把mysql主目录给root。#chown-Rmysql.mysql/usr/local/mysql/var注释：确保数据库目录权限所属mysql用户。等级保护基本要求主机：访问控制（S3），a）应启用访问控制功能，依据安全策略控制用户对资源的访问。主机：访问控制（S3），f）宜对重要信息资源设置敏感标记。主机：访问控制（S3），g）宜依据安全策略严格控制用户对有敏感标记重要信息资源的操作。检查结果□符合□不符合整改结果备注设备管理3.1禁止远程连接数据库安全基线项目名称禁止远程连接数据库安全基线编号MySQL-05安全基线项说明在命令行netstat-ant下看到，默认的3306端口是打开的，此时打开了mysqld的网络监听，允许用户远程通过帐号密码连接数本地据库，默认情况是允许远程连接数据的。为了禁止该功能，启动skip-networking，不监听sql的任何TCP/IP的连接，切断远程访问的权利，保证安全性。假如需要远程管理数据库，可通过安装PhpMyadmin来实现。假如确实需要远程连接数据库，至少修改默认的监听端口，同时添加防火墙规则，只允许可信任的网络的mysql监听端口的数据通过。检测操作步骤通过netstat–lnpt查看3306端口是否开放。基线符合性判定依据通过netstat–lnpt未发现监听端口3306，即为符合。加固标准编辑MySQL数据库配置文件f,在配置文件中将skip-networking的注释去掉，重启mysql服务。等级保护基本要求无检查结果□符合□不符合整改结果备注3.2连接超时退出设置安全基线项目名称连接超时退出设置安全基线编号MySQL-06安全基线项说明对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定。检测操作步骤查看mysqlserver超时时间：msyql>showglobalvariableslike'%timeout%';基线符合性判定依据在Mysql的默认设置中，如果一个数据库连接超过8小时没有使用（闲置8小时，即28800s），mysqlserver将主动断开这条连接，设置了合理的超时时间，即为符合。加固标准设置mysqlserver超时时间（以秒为单位）：msyql>setglobalwait_timeout=10;msyql>setglobalinteractive_timeout=10;等级保护基本要求主机：资源控制（A3），b）应根据安全策略设置登录终端的操作超时锁定。检查结果□符合□不符合整改结果备注3.3限制连接用户的数量安全基线项目名称限制连接用户的数量安全基线编号MySQL-07安全基线项说明数据库的某用户多次远程连接，会导致性能的下降和影响其他用户的操作，有必要对其进行限制。可以通过限制单个账户允许的连接数量来实现，设置f文件的mysqld中的max_user_connections变量来完成。GRANT语句也可以支持资源控制选项来限制服务器对一个账户允许的使用范围。检测操作步骤通过查看数据库配置文件是否对单个用户的连接数做限制。基线符合性判定依据在配置文件f中做了限制，即为符合。加固标准编辑f，在配置文件中添加如下行：max_user_connections2等级保护基本要求无检查结果□符合□不符合整改结果备注3.4清除历史命令安全基线项目名称清除历史命令安全基线编号MySQL-08安全基线项说明数据库相关的shell操作命令都会分别记录在.bash_history，如果这些文件不慎被读取，会导致数据库密码和数据库结构等信息泄露，而登陆数据库后的操作将记录在.mysql_history文件中，如果使用update表信息来修改数据库用户密码的话，也会被读取密码，因此需要删除这两个文件，同时在进行登陆或备份数据库等与密码相关操作时，应该使用-p参数加入提示输入密码后，隐式输入密码，建议将以上文件置空。检测操作步骤编辑.bash_history、.mysql_history文件查看是否存在历史命令。基线符合性判定依据不存在历史命令，即为符合。加固标准#rm.bash_history.mysql_history//删除历史记录#ln-s/dev/null.bash_history//将shell记录文件置空#ln-s/dev/null.mysql_history//将mysql记录文件置空等级保护基本要求无检查结果□符合□不符合整改结果备注日志配置设备其他安全要求4.1启用日志记录功能安全基线项目名称启用日志记录功能安全基线编号MySQL-09安全基线项说明数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。检测操作步骤基线符合性判定依据mysql数据库自身无审计功能，询问并查看是否有第三方审计工具或系统。加固标准部署了第三方审计工具或系统，即为符合。等级保护基本要求主机：安全审计（G3），a）审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。主机：安全审计（G3），b）审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用、账号的分配、创建与变更、审计策略的调整、审计系统功能的关闭与启动等系统内重要的安全相关事件。检查结果□符合□不符合