Linux Ubuntu 14 MySQL 密码策略(复杂度)和审计插件

不想你离开。 提交于 2020-10-08 05:25:25

一、概述

    系统等保要求,MySQL 数据库必须开启密码策略(复杂度)设置和安装审计插件。

    数据库的密码复杂度设置从内部即可开启和设置,但是审计插件必须额外进行下载和安装。

二、MySQL 数据库密码策略(复杂度)设置

    登录数据库,输入以下命令,检查当前密码策略情况。

show variables like 'validate_password%';

    通过以下命令,可以修改策略值(例)。

set global validate_password_policy=0;

    关于MySQL密码策略相关参数说明:

    1)、validate_password_length  固定密码的总长度;

    2)、validate_password_dictionary_file 指定密码验证的文件路径;

    3)、validate_password_mixed_case_count  整个密码中至少要包含大/小写字母的总个数;

    4)、validate_password_number_count  整个密码中至少要包含阿拉伯数字的个数;

    5)、validate_password_policy 指定密码的强度验证等级,默认为 MEDIUM;

            关于 validate_password_policy 的取值:

            0/LOW:只验证长度;

            1/MEDIUM:验证长度、数字、大小写、特殊字符;

            2/STRONG:验证长度、数字、大小写、特殊字符、字典文件;

    6)、validate_password_special_char_count 整个密码中至少要包含特殊字符的个数;

    如果显示命令无效,则说明策略尚未开启,按照以下步骤操作,编辑配置文件 vim /etc/my.cnf,添加以下命令。

plugin-load=validate_password.so

    重启服务,登录数据库,执行以下命令进行插件安装。

INSTALL PLUGIN validate_password SONAME 'validate_password.so';

    再次重启服务,输入以下命令,检查当前密码策略情况。

show variables like 'validate_password%';

三、MySQL 审计插件

    审计插件下载地址:https://bintray.com/mcafee/mysql-audit-plugin/release/1.1.6-784#files

    下载文件:audit-plugin-mysql-5.7-1.1.6-784-linux-x86_64.zip

    目录说明:lib -> libaudit_plugin.so、utils -> offset-extract.sh,用到这两个文件。

    1. 查询数据库插件统一存放目录位置,将 libaudit_plugin.so 上传到目录下。

show global variables like 'plugin_dir';

    2.来到 plugin 目录下对 so 文件授权。

chmod +x libaudit_plugin.so
chown mysql:mysql libaudit_plugin.so

    3. 创建审计日志目录,并授权 mysql 用户操作权限,授权操作不执行会导致日志无法生成

mkdir /usr/local/mysql/3306/audit_log/
chown mysql.mysql /usr/local/mysql/3306/audit_log/

    4. 将 offset-extract.sh 脚本上传到服务器上,并授权。

chmod +x offset-extract.sh

    5. 执行脚本运算,获取运算值。

./offset-extract.sh /usr/local/mysql/bin/mysqld

//offsets for: /usr/local/mysql/bin/mysqld (5.7.26)
{"5.7.26","454f8eee117882061d2a4ed575328a01", 7824, 7872, 3632, 4792, 456, 360, 0, 32, 64, 160, 536, 7988, 4360, 3648, 3656, 3660, 6072, 2072, 8, 7056, 7096, 7080, 13472, 148, 672},

    6. 在 MySQL 配置文件中,配置以下命令。

  • plugin-load=AUDIT=libaudit_plugin.so
  • audit_offsets=7824, 7872, 3632, 4792, 456, 360, 0, 32, 64, 160, 536, 7988, 4360, 3648, 3656, 3660, 6072, 2072, 8, 7056, 7096, 7080, 13472, 148, 672 # 运算值,通过第五步得出
  • audit_json_file=ON
  • audit_json_log_file=/usr/local/mysql/3306/audit_log/mysql-audit.json # 日志目录
  • audit_record_cmds=insert,delete,update,create,drop,revoke,alter,grant,set # 针对这些语句来审计

    7. 重启数据库服务,service mysql.server restart,输入以下命令查询插件安装情况。

show plugins;

    查看插件版本。

show global status like 'AUDIT_version';

    查看日志文件是否开启。

show global variables like 'audit_json_file';

    *参数说明:

1. audit_json_file 
#是否开启audit功能 

2. audit_json_log_file 
#记录文件的路径和名称信息 

3. audit_record_cmds 
#audit记录的命令,默认为记录所有命令可以设置为任意dml、dcl、ddl的组合 如:audit_record_cmds=select,insert,delete,update 还可以在线设置set global audit_record_cmds=NULL(表示记录所有命令) 

4.audit_record_objs
#audit记录操作的对象,默认为记录所有对象,可以用SET GLOBAL audit_record_objs=NULL设置为默认。也可以指定为下面的格式:audit_record_objs=,test.*,mysql.*,information_schema.*。

    8. 查看审计日志

cat /usr/local/mysql/3306/audit_log/mysql-audit.json

四、测试

    这里直接引用测试即可,进入到 MySQL 命令行,执行语句。

CREATE TABLE `t1` ( `id` int(10) NOT NULL AUTO_INCREMENT, `age` tinyint(4) NOT NULL DEFAULT '0', `name` varchar(30) NOT NULL DEFAULT '', PRIMARY KEY (`id`) )DEFAULT CHARSET=utf8; 
INSERT INTO `test`.`t1` (`age`, `name`) VALUES ('1', '1'); 
INSERT INTO `test`.`t1` (`age`, `name`) VALUES ('3', '3'); 
INSERT INTO `test`.`t1` (`age`, `name`) VALUES ('4', '4'); 
INSERT INTO `test`.`t1` (`age`, `name`) VALUES ('5', '5'); 
update t1 set name='6' where age='5'; 
delete from t1 where age='1'; select * from t1; 

    查看日志即可。

cat /usr/local/mysql/3306/audit_log/mysql-audit.json

五、参考文章

  • https://blog.51cto.com/13941177/2173086
  • https://www.cnblogs.com/hanxiaohui/p/9347767.html
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!