Mysql數(shù)據(jù)庫(kù)基線核查的方式

這篇文章主要介紹“Mysql數(shù)據(jù)庫(kù)基線核查的方式”，在日常操作中，相信很多人在Mysql數(shù)據(jù)庫(kù)基線核查的方式問題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對(duì)大家解答”Mysql數(shù)據(jù)庫(kù)基線核查的方式”的疑惑有所幫助！接下來，請(qǐng)跟著小編一起來學(xué)習(xí)吧！

一、身份鑒別

1.1應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用

A.應(yīng)按用戶分配賬號(hào)，避免不同用戶間共享賬號(hào)

B.檢查是否存在匿名賬戶：

mysql>use mysql;

mysql>delete from user where User = '';

mysql> flush privileges;

C.檢查是否存在空密碼：若存在則執(zhí)行

修改帳戶弱密碼 如要修改密碼，執(zhí)行如下命令：

mysql> update user set password=password('新密碼') where user='root'; mysql> flush privileges;

檢查是否存在空密碼(版本5.7)在MySQL5.7之前，User表中的口令字段為Password，從MySQL5.7開始，口令字段變成了authentication_string。

D.應(yīng)該更改默認(rèn)管理原賬號(hào)，防止對(duì)系統(tǒng)用戶窮舉的惡意行為

mysql> update user set user="newname" where user="root";

mysql> flush privileges;  newname為管理員賬號(hào)的新名稱，改成不易被猜測(cè)的用戶名。

二、訪問控制

2.1應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問

A.檢查是否刪除測(cè)試安裝的test庫(kù)（應(yīng)該刪除進(jìn)行安裝測(cè)試的test庫(kù)）

mysql> show databases;

mysql> drop database test; mysql> flush privileges;

檢查是否禁止mysql對(duì)本地文件存取

應(yīng)禁止mysql對(duì)本地文件存取

方法一：在my.cnf的mysql字段下加local-infile=0

方法二：?jiǎn)?dòng)mysql時(shí)加參數(shù)local-infile=0 /etc/init.d/mysql start --local-infile=0 假如需要獲取本地文件，需要打開此功能，但出于安全考慮建議關(guān)閉 重新打開命令/etc/init.d/mysql start --local-infile=1 修改后需要重新啟動(dòng)mysql 備注：可通過mysql --help 命令提示查詢my.cnf路徑

檢查是否禁止mysql以管理員賬號(hào)權(quán)限運(yùn)行

方法一：?jiǎn)?dòng)mysql 時(shí)加上--user=user-name eg: /etc/init.d/mysql start --user=user-name

方法二：在mysql安裝目錄下，修改配置文件my.cnf(使用rpm包安裝的請(qǐng)修改安裝目錄下的my-medium.cnf文件)中[mysqld]配置段中添加user=mysql。

三、安全審計(jì)

3.1應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)

A.檢查是否配置日志功能

B.檢查是否配置錯(cuò)誤日志

參考配置操作

• 在mysql的安裝目錄下，修改my.cnf配置文件，增加log_error = /home/mysql.err

• 重啟mysql，可執(zhí)行命令/etc/init.d/mysql restart 補(bǔ)充說明：具體log_error存放路徑請(qǐng)參照自身環(huán)境配置。

C.檢查是否配置通用查詢?nèi)罩?/p>

參考配置操作

• 在mysql的安裝目錄下，修改my.cnf配置文件，增加general_log = 1

• 重啟mysql，可執(zhí)行命令/etc/init.d/mysql restart 備注：可通過mysql --help 命令提示查詢my.cnf路徑。

1. 檢查是否配置慢查詢?nèi)罩?/p>

參考配置操作

(1) 在mysql的安裝目錄下，修改my.cnf配置文件，增加slow_query_log = 1 (2) 重啟mysql，可執(zhí)行命令/etc/init.d/mysql restart 備注：可通過mysql --help 命令提示查詢my.cnf路徑。

E.檢測(cè)是否配置更新日志

參考配置操作

(1) 在my.cnf的mysqld 下面添加 log_slave_updates

(2) 重啟mysql，可執(zhí)行命令/etc/init.d/mysql restart 備注：可通過mysql --help 命令提示查詢my.cnf路徑。

F.檢查是否配置二進(jìn)制日志

參考配置操作

• 在mysql的安裝目錄下，修改my.cnf配置文件，增加log_bin = mysql-bin (2) 重啟mysql，可執(zhí)行命令/etc/init.d/mysql restart 5.7.3以后的版本，修改my.cnf配置文件，在【mysqld】下增加log_bin = 文件名 server_id = 序列號(hào)。

四、惡意代碼防范

4.1應(yīng)安裝防惡意代碼軟件或加固具有相應(yīng)功能的軟件，并定期進(jìn)行升級(jí)和更新防惡意代碼庫(kù)

安裝最新補(bǔ)丁，確保系統(tǒng)安裝了最新的安全補(bǔ)丁。

注意： 在保證業(yè)務(wù)及網(wǎng)絡(luò)安全的前提下，并經(jīng)過兼容性測(cè)試后，安裝更新補(bǔ)丁。

五、資源控制

5.1應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)

A.應(yīng)能夠?qū)σ粋€(gè)訪問帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額

根據(jù)機(jī)器性能和業(yè)務(wù)需求，設(shè)置最大連接數(shù)，在mysql的安裝目錄下，在my.cnf中在[mysqld]配置段添加： max_connections = 1000，重啟mysql服務(wù) 備注：可通過mysql --help 命令提示查詢my.cnf路徑。

六、數(shù)據(jù)備份恢復(fù)

6.1應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能

查看是否有備份文件，以及了解備份機(jī)制和恢復(fù)機(jī)制

若無，需要建立備份文件，進(jìn)行每日增量、每周全量的備份策略。

6.2應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地

將備份文件存放異地且確保其有效性，避免出現(xiàn)單點(diǎn)故障后不具備恢復(fù)的風(fēng)險(xiǎn)。

到此，關(guān)于“Mysql數(shù)據(jù)庫(kù)基線核查的方式”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注億速云網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！