MySQL數(shù)據(jù)服務(wù)基線安全問題怎么解決

這篇文章主要介紹“MySQL數(shù)據(jù)服務(wù)基線安全問題怎么解決”，在日常操作中，相信很多人在MySQL數(shù)據(jù)服務(wù)基線安全問題怎么解決問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”MySQL數(shù)據(jù)服務(wù)基線安全問題怎么解決”的疑惑有所幫助！接下來，請跟著小編一起來學(xué)習(xí)吧！

問題分析

遍觀MongoDB和Elasticsearch以及現(xiàn)在的MySQL數(shù)據(jù)庫勒索，可以發(fā)現(xiàn)都是基線安全問題導(dǎo)致被黑客劫持?jǐn)?shù)據(jù)而勒索，原因在于這些服務(wù)都開放在公網(wǎng)上，并且存在空密碼或者弱口令等使得攻擊者可以輕易暴力破解成功，直接連上數(shù)據(jù)庫從而下載并清空數(shù)據(jù)，特別是不正確的安全組配置導(dǎo)致問題被放大。

其實(shí)類似問題已不是第一次，近期云鼎實(shí)驗(yàn)室觀測到多起案例，攻擊呈現(xiàn)擴(kuò)大態(tài)勢，不僅僅是勒索，更多的是服務(wù)器被入侵，從而導(dǎo)致數(shù)據(jù)被下載?；€安全問題已經(jīng)成了Web漏洞之外入侵服務(wù)器的主要途徑，特別是弱口令等情況。錯誤的配置可以導(dǎo)致相關(guān)服務(wù)暴露在公網(wǎng)上，成為黑客攻擊的目標(biāo)，加上采用空密碼等弱口令，黑客可以輕易入侵這些服務(wù)。

安全自查

值此事件爆發(fā)之際，建議對自己的服務(wù)器進(jìn)行自查，避免相關(guān)數(shù)據(jù)丟失等問題，具體自查方式可參考如下：
1、排查服務(wù)器開放的端口及對應(yīng)的服務(wù)，如無必要，關(guān)閉外網(wǎng)訪問；可以使用NMap 直接執(zhí)行 nmap 服務(wù)器IP（在服務(wù)器外網(wǎng)執(zhí)行），可得到以下結(jié)果即為開放在外網(wǎng)的端口和服務(wù)。

2、重點(diǎn)針對這些開放在公網(wǎng)上的服務(wù)進(jìn)行配置的檢查，檢查相關(guān)服務(wù)是否設(shè)置密碼，是否弱口令。
3、如無必要，均不要使用root或者其他系統(tǒng)高權(quán)限賬號啟動相關(guān)服務(wù)。

安全建議及修復(fù)方案

一、采用正確的安全組或者iptables等方式實(shí)現(xiàn)訪問控制；
二、關(guān)閉相關(guān)服務(wù)外網(wǎng)訪問和修改弱密碼：
1、MongoDB
a. 配置鑒權(quán)
下面以3.2版本為例，給出 MongoDB設(shè)置權(quán)限認(rèn)證，具體步驟如下：

1. 啟動MongoDB進(jìn)程是加上-auth參數(shù)或在MongoDB的配置文件中加上auth = true；

2. 帶auth啟動的MongoDB，如未創(chuàng)建用戶，MongoDB會允許本地訪問后創(chuàng)建管理員用戶。創(chuàng)建步驟如下：

1. 切換到 admin 庫；
2. 創(chuàng)建管理員用戶，命令如下(user和pwd可以根據(jù)需要設(shè)置)：
db.createUser({user: "root",pwd: "password",roles: [ "root">

b. 關(guān)閉公網(wǎng)訪問
可通過MongoDB的bind_ip參數(shù)進(jìn)行配置，只需將IP綁定為內(nèi)網(wǎng)IP即可，如下：

1. 啟動時增加bind_ip參數(shù)：mongod --bind_ip 127.0.0.1,10.x.x.x
2. 在配置文件mongodb.conf中添加以下內(nèi)容：
bind_ip = 127.0.0.1,10.x.x.x
其中10.x.x.x為您機(jī)器的內(nèi)網(wǎng)IP.

2、Redis
a. 配置鑒權(quán)

1. 修改配置文件，增加 “requirepass 密碼” 項(xiàng)配置（配置文件一般在/etc/redis.conf）

2. 在連接上Redis的基礎(chǔ)上，通過命令行配置，config set requirepass yourPassword

b. 關(guān)閉公網(wǎng)訪問

1. 配置bind選項(xiàng)，限定可以連接Redis服務(wù)器的IP，修改 Redis 的默認(rèn)端口6379

c. 其他

1. 配置rename-command 配置項(xiàng) “RENAME_CONFIG”，重名Redis相關(guān)命令，這樣即使存在未授權(quán)訪問，也能夠給攻擊者使用config 指令加大難度（不過也會給開發(fā)者帶來不方便）

相關(guān)配置完畢后重啟Redis-server服務(wù)

3、MySQL
a. 配置鑒權(quán)
MySQL安裝默認(rèn)要求設(shè)置密碼，如果是弱命令，可通過以下幾種方式修改密碼:

1. UPDATE USER語句

    //以root登錄MySQL后，
    USE mysql；
    UPDATE user SET password=PASSWORD('新密碼') WHERE user='root';
    FLUSH PRIVILEGES;

   
   

2. SET PASSWORD語句

   //以root登錄MySQL后，
    SET PASSWORD FOR root=PASSWORD('新密碼');

   
   

3. mysqladmin命令

   mysqladmin -u root -p 舊密碼 新密碼

   
   

b. 關(guān)閉公網(wǎng)訪問

1. 啟動參數(shù)或者配置文件中設(shè)置bind-address= IP綁定內(nèi)部IP

2. 以root賬號連接數(shù)據(jù)庫，排查user表中用戶的host字段值為%或者非localhost的用戶，修改host為localhost或者指定IP或者刪除沒必要用戶

到此，關(guān)于“MySQL數(shù)據(jù)服務(wù)基線安全問題怎么解決”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識，請繼續(xù)關(guān)注億速云網(wǎng)站，小編會繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！