网络安全 数据库 MySQL 安全规范

日期:2019-02-19 浏覽:

                                          文章来源自:天億網絡安全,由“重慶信息安全産業研究院”整理發布。
在生産中,安全是相當重要,畢竟你的核心數據都在裏面,MySQL因爲其開源的流行性,大量個人,企業,政府單位采用,但是,很多部署的時候采用都是默認的配置,這就導致了安全的相對欠缺,你需要針對你的安全有所加強。
總的來說,數據庫一般劃分爲生産庫,壓測庫,准生産庫,測試庫,開發庫。下面部分主要說的是生産庫,但其他庫也適用。


1 mysql_secure_installation

這是數據庫基礎的安全設置腳本

a 设置root密码

b 移除匿名用户

c 禁止远程root登录

d 移除test数据库

以上是5.6版本,5.7有所加強但也僅此而以,看看你的環境是否存在上述問題,這個算是是最基本的安全吧。

2 连接访问安全

常見創建用戶的時候你需要指定你的ip訪問地址範圍或者固定ip,一般化而言,只有特定唯一的幾個ip的才會訪問,或者說你可以采用代理訪問的方式,減少應用直接訪問你的數據庫,而且現在很多中間件也都有白名單機制,原則上是把非法請求防止在數據庫以外的地方。

規範數據庫管理軟件,實現管理軟件的標准、統一化,還有嚴禁杜絕開啓外網訪問,如果客戶端在遠程,就根本不應該直接訪問數據庫,而應該使用中間件堡壘機或其他替代方案。

爲了防止連入數據庫的應用程序存在後門,造成數據庫安全隱患,檢查所有連接數據庫程序的安全性。通過使用堡壘機或者其他監控登錄數據庫,禁止對數據庫的直接操作。

對已經連接的IP網段進行規範化、統一化的管理,定期進行權限複核操作,對系統所屬IP、用戶進行權限梳理工作。

對員工進行安全培訓,增強員工的系統安全觀念,做到細心操作,安全操作。

確保訪問數據庫的主機爲已知用戶或者主機,使用專門主機與數據庫進行連接。

對重要業務表的所有行爲,全部審計,審計同時所有包括即使是DBA的DDL操作行爲
最後是報表系統,利用審計的相關日志,出具系統化的審計報告。

3 权限安全

權限這塊無可厚非,在簡曆之初遵循最小權限原則,堅持最小權限原則,是數據庫安全的重要步驟。

很多時候我們不知道具體的最小權限是什麽,你說一個賬號到底需要什麽樣權限才合適,才不會影響業務?這個不是很好界定。我們需要知道在設置權限時的信息,要授予的權限級別,庫級別,表級別,列級別,或者其他超級權限,要授予的權限類型,增刪改查等

從mysql.user表來看
Select_priv/Insert_priv/Update_priv/Delete_priv/Create_priv/Drop_priv
Reload_priv/Shutdown_priv/Process_priv/File_priv/Grant_priv/References_priv
Index_priv/Alter_priv/Show_db_priv/Super_priv/Create_tmp_table_priv/Lock_tables_priv
Execute_priv/Repl_slave_priv/Repl_client_priv/Create_view_priv/Show_view_priv/Create_routine_priv/
Alter_routine_priv/Create_user_priv/Event_priv/Trigger_priv/Create_tablespace_priv

用戶名,IP地址,是否需要連接數控制,SSL,過期時間等,不要怕麻煩,可能前期設置的時候比較繁瑣,但是,一個好的基礎設置,才是安全的保障,做到需要什麽給什麽,而不是。

4 账户安全

用戶賬戶劃分原則
超級管理員賬號
系統應用賬號(比如備份,監控,審計等)
應用業務賬號
業務人員賬號
開發人員賬號
測試人員賬號
其他專用賬號

主要是防止泄漏,非必要人員不需要知道賬號的名稱,同時需要制定相應的命名規則,還有就是合理使用自己的賬號密碼,保護好你的賬號密碼,對于絕無必要的用戶,先禁用,後期刪除,要做到無匿名賬戶和無廢棄賬戶。

5 目录文件安全

提高本地安全性,主要是防止mysql对本地文件的存取,会对系统构成威胁,还有Load DATA LOCAL INFILE,禁用该功能。

這個主要是防止誤刪除,非權限用戶禁止訪問目錄,還有就是數據文件禁止訪問,或者采用更改常用的目錄路徑,或者通過chroot,要保證該目錄不能讓未經授權的用戶訪問後把數據庫打包拷貝走了,所以要限制對該目錄的訪問。

6 密码安全

密碼強度複雜性

尽量并且不要使用固定密码,实行每个用户单独密码,长度在16位以上 0-9a-zA-Z~!@#$%^&*()-+ 随机组合。

密碼過期機制

根據公司的情況設定密碼過期時間,定期更改,同時不可使用重複密碼。

密碼保存機制

爲了方便管理,可能會采用一個密碼表,要加強對于密碼表的維護更新,最重要的是保證不泄漏。

7 漏洞安全

常規的方式是安裝補丁,不過這個往往比較麻煩,主要是版本升級,還有就是防護策略。

8 被忽视的SSL

由于性能或者其他方面原因,很多生産環境並沒有使用,不過從5.7+開始,已經好很多了,有需要的加強安全防範其實可以嘗試下了。

https://dev.mysql.com/doc/refman/5.7/en/mysql-ssl-rsa-setup.html

9 防火墙安全

一般化數據庫前面都會有主備的牆,不過從成本上考慮,很多企業都是單個或者裸奔的,有自己的硬件防火牆最好,沒有的話也可以使用系統自帶的防火牆,然後在加上其他白名單和中間件白名單過濾輔助措施,也能防止一部分問題。

10 端口安全

默認端口是3306,這個最好修改下,爲了方便記憶,你可以根據的ip地址來加密動態調整,不過如果生産網絡允許,也可以定期修改,最好不要影響研發進度。

11 记录安全

删除操作系统记录的敏感数据,比如.mysql_history、.bash_history 等,及时清理,移除和禁用.mysql_history文件。

人是安全的主導,管理的對象要從兩個角度來看,從信息角度來說就是MySQL本身的安全,要防止數據的丟失和免遭破壞;從技術的角度來說就是整個系統的安全,要防止系統的癱瘓和免遭破壞。

最後說句題外話,監控和審計,安全主要是防患于未然,沒有誰希望一天到晚接到各種警報,最好根據公司的實際情況訂個詳細的規章制度,不要覺得這個麻煩,有些你可能並不覺得有用,但是呢?我希望是沒有但是。

(内容来源:talkwithtrend )

 

?

新聞動態

聯系方式丨CONTACT

  • 聯系電話:023-81661602
  • 公司地址:合川區工業園區科技孵化大樓
  • Q Q咨询:10001
  • 企業郵箱:cqxxaqcyyjy@cisiri.com
首頁
電話
短信
聯系