MYSQL 8的DB security該怎么應(yīng)對(duì)安全部門的bulabula

MYSQL 8的DB security該怎么應(yīng)對(duì)安全部門的bulabula，相信很多沒有經(jīng)驗(yàn)的人對(duì)此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個(gè)問題。

MYSQL 8 的 security 的確是和MYSQL  5.7 不大一樣，但具體怎么弄到底和MYSQL 5.7 有什么不一樣，還是的搞一搞。什么 還在使用MYSQL 5.6 ,5.5 ,那也可以看一眼，或許下次升級(jí)就直接跳過  5.7 呢 .

我們先一步步來

1 安全部門問：你們的MYSQL 數(shù)據(jù)庫有么有數(shù)據(jù)庫安全監(jiān)測(cè)？

答：有的，MYSQL 8 提供了一個(gè)安全的監(jiān)測(cè)程序來監(jiān)測(cè)安裝好的MYSQL 的一些安全問題？這個(gè)程序的名字叫 mysql_secure_installation

我們來看看他到底能做什么 ？我們?cè)趕hell 中直接鍵入 mysql_secure_installation

這樣一個(gè)程序會(huì)問你幾個(gè)問題并根據(jù)你的選擇來做出一些對(duì)應(yīng)的動(dòng)作

評(píng)判你的ROOT 密碼是否符合現(xiàn)在的密碼等級(jí)的設(shè)定，并給出分?jǐn)?shù)

2 在安裝MYSQL的時(shí)候，有沒有一些其他的匿名用戶一并被安裝到數(shù)據(jù)庫中，如果有就進(jìn)行刪除

3 判斷你的ROOT 用戶是否可以通過外網(wǎng)來進(jìn)行訪問，如果可以，你可以選擇禁止這樣的權(quán)限

4 有的MYSQL 在安裝的時(shí)候，會(huì)帶著一個(gè)TEST 的數(shù)據(jù)庫，默認(rèn)所有的用戶都可以訪問這個(gè)庫，你是不是要做點(diǎn)什么

OK ，一般我們?cè)诎惭b完MYSQL 8 后，可以通過這個(gè)程序來將你的MYSQL 的安全強(qiáng)化，或者可以在你接手一個(gè)新的數(shù)據(jù)庫時(shí)來驗(yàn)證一下你的數(shù)據(jù)庫的基本安全情況。

2 問題，你的用戶名密碼是否有強(qiáng)制的保護(hù)，例如密碼多少位，密碼過期等設(shè)置

答：有，我們采用MYSQL 8 的安全組件（不是插件是組件）

怎么驗(yàn)證你安裝了這個(gè)組件

如果你在MYSQL 數(shù)據(jù)庫中執(zhí)行完上面的語句，能看到我紅色線畫的內(nèi)容，說明你安裝了這個(gè)組件（具體咱們安裝這個(gè)組件，請(qǐng) B  or  G ）

那這個(gè)MYSQL 8的組件，包含什么內(nèi)容我們來list 一下

1  是否打開密碼檢查，默認(rèn)打開

validate_password.check_user_name ON

2 密碼的長(zhǎng)度是多少

validate_password.length 默認(rèn) 8

3  密碼是否需要大小寫混合的數(shù)量

validate_password.mixed_case_count 默認(rèn) 1

4 密碼中含有數(shù)字的最小數(shù)量

validate_password.number_count  默認(rèn) 1

5 密碼中的特殊字符，（非字母和數(shù)字）

validate_password.special_char_count  默認(rèn) 1

5 密碼策略的設(shè)置

密碼的策略設(shè)置中是有高中低的設(shè)置，匹配的值也是 0  1 2  

validate_password.policy  默認(rèn)2

而這個(gè)設(shè)置直接關(guān)系到你上面的設(shè)置是否能生效和怎么生效

選擇 0  則僅僅對(duì)密碼的長(zhǎng)度進(jìn)行檢驗(yàn)

選擇 1  對(duì)密碼的長(zhǎng)度，是否有數(shù)字，是否有大小寫，是否有特殊字符都有監(jiān)測(cè)

選擇 2     則在1 的基礎(chǔ)上，還對(duì)你設(shè)置的字典文件進(jìn)行比對(duì)，如果和字典文件的禁止設(shè)置為密碼的條目對(duì)應(yīng)，則你的密碼就不能進(jìn)行設(shè)置

具體你想怎么設(shè)置就看你公司的安全部門對(duì)密碼的要求。

注：同時(shí)請(qǐng)注意，如果以前使用PT 工具對(duì)賬號(hào)進(jìn)行復(fù)制的方式，在MYSQL 8上應(yīng)該暫時(shí)會(huì)報(bào)錯(cuò)，因?yàn)槊艽a的加密方式已經(jīng)變化了，工具無法進(jìn)行工作。

至于MYSQL5.7 上有的用戶賬號(hào)的過期時(shí)間，或生存時(shí)間也都和以前沒有變化，但一般不建議設(shè)置，除非你的安全部門強(qiáng)調(diào)，否則別給自己找麻煩。否則大半夜給你打電話告訴你應(yīng)用聯(lián)不通了，那這鍋就的自己背了。

3  MYSQL 的 audit 功能

現(xiàn)在的數(shù)據(jù)庫都需要有audit的功能，沒有audit 的功能的數(shù)據(jù)庫在安全方面一定是要受到安全部門的 吐槽或者給你的“顏色”看看。MYSQL 怎么支持audit 功能,

1 你花錢買MYSQL 的企業(yè)版的,自帶audit 功能

2 你安裝的是PERCONA 的 MYSQL SERVER 的版本，他們免費(fèi)提供你 AUDIT 功能

什么，免費(fèi)的官版的MYSQL ，OMG ， SORRY 請(qǐng)你  B  OR  G 吧，因?yàn)槲乙恢?percona 版，官版的反正我不用。

下面都是基于 PERCONA 的 MYSQL 8.015 版本，其他的版本的MYSQL ......

這個(gè)順便說一句為什么要PERCONA ，PERCONA 作為數(shù)據(jù)庫界的“最”強(qiáng)大的服務(wù)公司，那支持的數(shù)據(jù)庫版本和能力算是數(shù)一數(shù)二的，MONGODB 人家有自己的產(chǎn)品，MYSQL 有自己的產(chǎn)品, POSTGRESQL 11 ,現(xiàn)在也有免費(fèi)的產(chǎn)品了， MYSQL的 代理軟件，也有免費(fèi)的產(chǎn)品。重要的是免費(fèi)，還好用，有文檔，如果有錢還可以買個(gè)支持什么的。

安裝AUDIT 插件

INSTALL PLUGIN audit_log SONAME 'audit_log.so';

查看一下你的插件是否安裝上了

percona 的audit 格式支持 XML JSON CSV 等格式

例如我們要檢查訪問 mysql 數(shù)據(jù)庫的用戶

 SET GLOBAL audit_log_include_databases = 'mysql'; 

下面兩張圖是相關(guān)的配置信息，和audit LOG 中的內(nèi)容，具體的就不多說了，都是精英，稍微看一下就都會(huì)了。

也可以找一期，在說說這個(gè)  audit log  OK 今天就到這里。

看完上述內(nèi)容，你們掌握MYSQL 8的DB security該怎么應(yīng)對(duì)安全部門的bulabula的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！