Mysql數據庫基線核查的方式

這篇文章主要介紹“Mysql數據庫基線核查的方式”，在日常操作中，相信很多人在Mysql數據庫基線核查的方式問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”Mysql數據庫基線核查的方式”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

一、身份鑒別

1.1應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用

A.應按用戶分配賬號，避免不同用戶間共享賬號

B.檢查是否存在匿名賬戶：

mysql>use mysql;

mysql>delete from user where User = '';

mysql> flush privileges;

C.檢查是否存在空密碼：若存在則執行

修改帳戶弱密碼 如要修改密碼，執行如下命令：

mysql> update user set password=password('新密碼') where user='root'; mysql> flush privileges;

檢查是否存在空密碼(版本5.7)在MySQL5.7之前，User表中的口令字段為Password，從MySQL5.7開始，口令字段變成了authentication_string。

D.應該更改默認管理原賬號，防止對系統用戶窮舉的惡意行為

mysql> update user set user="newname" where user="root";

mysql> flush privileges;  newname為管理員賬號的新名稱，改成不易被猜測的用戶名。

二、訪問控制

2.1應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客體的訪問

A.檢查是否刪除測試安裝的test庫（應該刪除進行安裝測試的test庫）

mysql> show databases;

mysql> drop database test; mysql> flush privileges;

檢查是否禁止mysql對本地文件存取

應禁止mysql對本地文件存取

方法一：在my.cnf的mysql字段下加local-infile=0

方法二：啟動mysql時加參數local-infile=0 /etc/init.d/mysql start --local-infile=0 假如需要獲取本地文件，需要打開此功能，但出于安全考慮建議關閉 重新打開命令/etc/init.d/mysql start --local-infile=1 修改后需要重新啟動mysql 備注：可通過mysql --help 命令提示查詢my.cnf路徑

檢查是否禁止mysql以管理員賬號權限運行

方法一：啟動mysql 時加上--user=user-name eg: /etc/init.d/mysql start --user=user-name

方法二：在mysql安裝目錄下，修改配置文件my.cnf(使用rpm包安裝的請修改安裝目錄下的my-medium.cnf文件)中[mysqld]配置段中添加user=mysql。

三、安全審計

3.1應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行審計

A.檢查是否配置日志功能

B.檢查是否配置錯誤日志

參考配置操作

• 在mysql的安裝目錄下，修改my.cnf配置文件，增加log_error = /home/mysql.err

• 重啟mysql，可執行命令/etc/init.d/mysql restart 補充說明：具體log_error存放路徑請參照自身環境配置。

C.檢查是否配置通用查詢日志

參考配置操作

• 在mysql的安裝目錄下，修改my.cnf配置文件，增加general_log = 1

• 重啟mysql，可執行命令/etc/init.d/mysql restart 備注：可通過mysql --help 命令提示查詢my.cnf路徑。

1. 檢查是否配置慢查詢日志

參考配置操作

(1) 在mysql的安裝目錄下，修改my.cnf配置文件，增加slow_query_log = 1 (2) 重啟mysql，可執行命令/etc/init.d/mysql restart 備注：可通過mysql --help 命令提示查詢my.cnf路徑。

E.檢測是否配置更新日志

參考配置操作

(1) 在my.cnf的mysqld 下面添加 log_slave_updates

(2) 重啟mysql，可執行命令/etc/init.d/mysql restart 備注：可通過mysql --help 命令提示查詢my.cnf路徑。

F.檢查是否配置二進制日志

參考配置操作

• 在mysql的安裝目錄下，修改my.cnf配置文件，增加log_bin = mysql-bin (2) 重啟mysql，可執行命令/etc/init.d/mysql restart 5.7.3以后的版本，修改my.cnf配置文件，在【mysqld】下增加log_bin = 文件名 server_id = 序列號。

四、惡意代碼防范

4.1應安裝防惡意代碼軟件或加固具有相應功能的軟件，并定期進行升級和更新防惡意代碼庫

安裝最新補丁，確保系統安裝了最新的安全補丁。

注意： 在保證業務及網絡安全的前提下，并經過兼容性測試后，安裝更新補丁。

五、資源控制

5.1應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行審計

A.應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額

根據機器性能和業務需求，設置最大連接數，在mysql的安裝目錄下，在my.cnf中在[mysqld]配置段添加： max_connections = 1000，重啟mysql服務 備注：可通過mysql --help 命令提示查詢my.cnf路徑。

六、數據備份恢復

6.1應提供重要數據的本地數據備份與恢復功能

查看是否有備份文件，以及了解備份機制和恢復機制

若無，需要建立備份文件，進行每日增量、每周全量的備份策略。

6.2應提供異地數據備份功能，利用通信網絡將重要數據定時批量傳送至備用場地

將備份文件存放異地且確保其有效性，避免出現單點故障后不具備恢復的風險。

到此，關于“Mysql數據庫基線核查的方式”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續學習更多相關知識，請繼續關注億速云網站，小編會繼續努力為大家帶來更多實用的文章！