MySQL服务安全加固

转载来源 ： https://help.aliyun.com/knowledge_detail/49568.html

介绍

数据库管理人员可以参考本文档进行 MySQL 数据库系统的安全配置加固，提高数据库的安全性，确保数据库服务稳定、安全、可靠地运行。
漏洞发现
您可以使用安骑士企业版自动检测您的服务器上是否存在 MySQL 漏洞问题，或者您也可以自己排查您服务器上的 MySQL 服务是否存在安全问题。

安全加固

1、帐号安全

• 禁止 Mysql 以管理员帐号权限运行
  以普通帐户安全运行 mysqld，禁止以管理员帐号权限运行 MySQL 服务。在 /etc/my.cnf 配置文件中进行以下设置。

[mysql.server]
user=mysql

• 避免不同用户间共享帐号
  参考以下步骤。
  a、创建用户。

mysql> mysql> insert into
mysql.user(Host,User,Password,ssl_cipher,x509_issuer,x509_sub 
ject) values("localhost","pppadmin",password("passwd"),'','','');

执行以上命令可以创建一个 phplamp 用户。
b、使用该用户登录 MySQL 服务。

mysql>exit; 
@>mysql -u phplamp -p 
@>输入密码 
mysql>登录成功

• 删除无关帐号
  DROP USER 语句可用于删除一个或多个 MySQL 账户。使用 DROP USER 命令时，必须确保当前账号拥有 MySQL 数据库的全局 CREATE USER 权限或 DELETE 权限。账户名称的用户和主机部分分别与用户表记录的 User 和 Host 列值相对应。

执行DROP USER user;语句，您可以取消一个账户和其权限，并删除来自所有授权表的帐户权限记录。

2、口令

检查账户默认密码和弱密码。口令长度需要至少八位，并包括数字、小写字母、大写字母和特殊符号四类中的至少两种类型，且五次以内不得设置相同的口令。密码应至少每 90 天进行一次更换。

您可以通过执行以下命令修改密码。

 mysql> update user set password=password('test!p3') where user='root';
 mysql> flush privileges;

3、授权
在数据库权限配置能力范围内，根据用户的业务需要，配置其所需的最小权限。

查看数据库授权情况。

mysql> use mysql;
mysql> select * from user;
mysql>select * from db;
mysql>select * from host;
mysql>select * from tables_priv;
mysql>select * from columns_priv;

通过 revoke 命令回收不必要的或危险的授权。

mysql> help revoke
Name: 'REVOKE'
Description:
Syntax:
REVOKE
priv_type [(column_list)]
   [, priv_type [(column_list)]] ...
 ON [object_type]
     {
         *
       | *.*
       | db_name.*
       | db_name.tbl_name
       | tbl_name
       | db_name.routine_name
     }
 FROM user [, user] ...

4、开启日志审计功能

数据库应配置日志功能，便于记录运行状况和操作行为。

MySQL服务有以下几种日志类型：

• 错误日志： -log-err
• 查询日志： -log （可选）
• 慢查询日志： -log-slow-queries （可选）
• 更新日志： -log-update
• 二进制日志： -log-bin
  找到 MySQL 的安装目录，在 my.ini 配置文件中增加上述所需的日志类型参数，保存配置文件后，重启 MySQL 服务即可启用日志功能。例如，

#Enter a name for the binary log. Otherwise a default name will be used. 
#log-bin= 
#Enter a name for the query log file. Otherwise a default name will be used. 
#log= 
#Enter a name for the error log file. Otherwise a default name will be used. 
log-error= 
#Enter a name for the update log file. Otherwise a default name will be used. 
#log-update=

该参数中启用错误日志。如果您需要启用其他的日志，只需把对应参数前面的 “#” 删除即可。

日志查询操作说明

执行show variables like 'log_%';命令可查看所有的 log。
执行show variables like 'log_bin';命令可查看具体的 log。

5、安装最新补丁

确保系统安装了最新的安全补丁。

注意： 在保证业务及网络安全的前提下，并经过兼容性测试后，安装更新补丁。

6、如果不需要，应禁止远程访问

禁止网络连接，防止猜解密码攻击、溢出攻击、和嗅探攻击。

注意： 仅限于应用和数据库在同一台主机的情况。

如果数据库不需要远程访问，可以禁止远程 TCP/IP 连接，通过在 MySQL 服务器的启动参数中添加–skip-networking参数使 MySQL 服务不监听任何 TCP/IP 连接，增加安全性。

您可以使用 安全组 进行内外网访问控制，建议不要将数据库高危服务对互联网开放。

7、设置可信 IP 访问控制

通过数据库所在操作系统的防火墙限制，实现只有信任的 IP 才能通过监听器访问数据库。

 mysql> GRANT ALL PRIVILEGES ON db.*
 ·-> -> TO 用户名@'IP子网/掩码';

8、连接数设置

根据您的机器性能和业务需求，设置最大、最小连接数。

在 MySQL 配置文件（my.conf 或 my.ini）的 [mysqld] 配置段中添加max_connections = 1000，保存配置文件，重启 MySQL 服务后即可生效。

预防数据库勒索事件

ElasticSearch勒索事件
MongoDB勒索事件
MySQL勒索事件
Redis勒索事件
PostgreSQL勒索事件
针对Oracle的勒索事件

基线安全问题

从MongoDB和Elasticsearch，以及现在的MySQL数据库勒索案例中，可以发现受害数据库都是因为基线安全问题，才被黑客劫持而勒索。

这些被勒索的自建数据库服务都开放在公网上，并且存在空密码或者弱口令，使得攻击者可以轻易暴力破解出密码，连接数据库，下载并清空数据。再加上不正确的安全组配置，甚至没有配置任何网络访问控制策略，导致问题被放大。

基线安全问题已经成了Web漏洞之外入侵服务器的主要途径，特别是无网络访问控制、默认账号和空口令、默认账号弱口令、后台暴露、后台无口令、未授权访问等情况。错误的配置可以导致相关服务暴露在公网上，成为黑客攻击的目标；加上采用空密码和弱口令，更方便了黑客以极低的攻击成本入侵这些服务。

工具排查

您也可以使用类似NMap这样的端口扫描工具，直接针对被检查的服务器IP，在服务器外网执行扫描，以检查业务服务器开放在外网的端口和服务。

注意：需要在授权情况下对自身业务进行扫描，不要对其他不相关的业务进行非法扫描，以避免法律风险。

安全建议及修复方案

配置严格网络访问控制策略
当您安装完服务，或在运维过程中发现对外开放了服务后，您可以使用Windows自带防火墙功能、Linux系统的iptables防火墙功能来配置必要的访问控制策略。

推荐您使用ECS安全组策略，控制内外网出入的流量，防止暴露更多不安全的服务。

对操作系统和服务进行安全加固

必要的安全加固是确保业务在云上安全可靠运行的条件，您可以使用安骑士的自动化检测和人工加固指南对业务服务器进行安全加固。

来源：CSDN

作者：寰宇001

链接：https://blog.csdn.net/qq_40907977/article/details/104238551