




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
信息安全MySQL标准检查表MySQL标准检查表分类测评项预期结果评估操作示例整改建议身份鉴别默认账号要求不存在默认数据库和默认帐号;
不存在匿名账户;
应用系统应使用新建用户,不得使用系统默认账户。mysql>showdatabases;
mysql>select*fromuser;
只保留单个管理员root和应用系统专用账户在不影响系统正常运行的情况下删除默认账号,若默认账号下有系统运行,则修改默认账号名。数据库系统管理用户账号名和密码要求项修改root用户默认口令,删除空口令;
改变默认mysql管理员帐号,host为空mysql>select*fromuser;
查看列表中root用户口令不为空,host为空修改root用户的默认密码,不能有空口令,MySQL默认的账户为root,需要新建一个账户。MySQL账户的Host=%应该为空,这样来禁止远程连接。管理员口令策略至少8位,数字、字母(大小写)、特殊字符组成的不规律密码mysql>selectpasswordfromuser;
查看密码密码修改为8位以上,包含数字,字母(大小写),特殊字符三种形式账号权限策略除管理员账户之外的其他账户不得拥有系统数据库的任何权限,不得拥有File,Grant,Reload,Shutdown,Process等权限的任意一种mysql>showgrantsforroot@localhost;查看root用户的权限。
Showgrantsfor+用户名@地址,可以查看指定账户的权限修改除管理员外其他用户的权限,其他用户不能有File,Grant,Reload,Shutdown,Process等权限,不能出现其他高权限用户访问控制MySQL运行在单独的组上不能在root账户运行MySQL服务器,使用普通非特权用户运行mysql>idmysqlMySQL不能运行在root用户上,需新建一个专用账户给MySQL数据库文件权限控制MySQL的数据目录、日志目录,以及目录下的文件属主和属组只能是mysql账号,不能给予其他账号任何权限ls–la/usr/local/mysql;查看数据目录所属的账号
ls–la/usr/local/mysql/var
查看日志目录所属的账号命令历史记录保护mysql.history文件中为空,没有命令历史记录若没有修改存储历史命令的文件名,则是mysql.history,我们执行find/-namemysql.history站到文件夹所在的位置;
cat打开查看该文件内容
若修改了存储的文件名,则需要询问管理员确认存储位置。将.bash_history,.mysql_history文件置空。
ln-s/dev/null.bash_history;
ln-s/dev/null.mysql_history;
将历史命令缓存直接引向垃圾箱安全审计启用日志记录启用了日志记录,记录日志信息
log-error,log,log-slow-queries这三种日志的状态是ON状态MySQL>showvariableslike'log_%';进入f中,在[mysqld]下面加log-error=
/usr/local/mysql/log/error.log
log=
/usr/local/mysql/log/mysql.log
long_query_time=2
log-slow-queries=
/usr/local/mysql/log/slowquery.log
log-queries-not-using-indexes审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容cat/etc/audit/auditd.conf
cat/etc/audit/audit.rules首先需要开启logbin日志(记录数据库修改语句和生效时间),再与init-connect相结合,两者结合记录完整的信息操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新1)系统安装的组件和应用程序遵循了最小安装的原则;
2)不必要的服务没有启动;service--status-all|greprunning对不必要的服务进行关闭,仅保留系统所需要的最小服务其他内容限制单个用户允许的连接数量对单个用户的连接数的最大值做出限制,f中的max_user_connections系统变量为非零值MySQL>showglobalvariableslike'%connect%'根据系统的实际承受能力,限制单个用户连接数,在/etc/f中进行限制服务监听端口修改mysql默认监听端口3306为其他端口showglobalvariableslike'port';看一下监听端口是不是3306vimf文件,修改其中的port参数为非3306且未被占用的端口登录终端超时锁定设置了超时时间,在时间内没有操作,再次操作时就会提示超时MYSQL>showVARIABLE
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 感恩教育读书主题班会
- 汽车冷气系统维修合同
- 商品质量评定合同(2篇)
- 拍卖品宣传策略协议
- 教科版(2017)科学五年下册《分析一个实际的环境问题》说课(附反思、板书)课件
- 2025年统编版小学道德与法治二年级下册《我是一张纸》说课课件
- 屈光手术护理配合
- 水果购销合同示例
- 企业文化共赢培训
- 宣传教育扶贫政策
- 电化学储能保险发展报告
- 不合格产品统计表
- 《外科学》第七节 直肠癌
- DG-TJ 08-2002-2020 悬挑式脚手架安全技术标准 高质量清晰版
- Z世代消费态度洞察报告
- 办公楼办公室改档案室结构加固施工方案(15页)
- 浅谈在小学五六年级开展性教育的必要性
- (完整版)二十四山年月日时吉凶定局详解,
- 支撑掩护式液压支架总体方案及底座设计
- 水利部预算定额
- 阀门螺栓使用对照表
评论
0/150
提交评论