1、开启日志审计
日志审计包括general_log、slow_query_log、log-bin,这几项都需要开启
general_log=on general_log_file=/var/lib/mysql/logs/mysql.log slow_query_log=on log-queries-not-using-indexes=on slow-query-log-file=/var/lib/mysql/logs/slowquery.log long_query_time=3 log-bin=mysql-bin binlog_format=mixed server-id=1
修改配置后需要重启mysql服务,验证方式:
show variables like '%general_log%'; show variables like '%slow_query_log%'; show variables like '%log-bin%';
2、密码策略插件
mysql数据库支持安装一些插件来增强数据库的功能。
密码策略插件在mysql 5.6的高版本及以上版本中已经默认存在,只需要开启即可使用。
plugin-load-add=validate_password.so validate-password=FORCE_PLUS_PERMANENT ## 密码最小8位长度 validate_password_length=8 ## 密码至少要包含1个大小写字母 validate_password_mixed_case_count=1 ## 密码至少要包含1个数字 validate_password_number_count=1 ## 密码强度检查等级 1/MEDIUM validate_password_policy=1
修改配置后需要重启服务,验证方式:
show variables like '%validate_password%'; 或 SELECT PLUGIN_NAME, PLUGIN_STATUS FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE 'validate%';
3、登录失败处理插件
登录失败策略插件在mysql 5.6的高版本及以上版本中已经默认存在,只需要开启即可使用。
plugin-load-add=connection_control.so connection-control=FORCE_PLUS_PERMANENT connection-control-failed-login-attempts=FORCE_PLUS_PERMANENT connection_control_failed_connections_threshold=5 connection_control_min_connection_delay=108000
修改配置后需要重启服务,验证方式:
show variables like '%connection%'; 或 SELECT PLUGIN_NAME, PLUGIN_STATUS FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE 'connection%';
4、登录超时
## 超时30分钟,默认是8小时 wait_timeout=1800 interactive_timeout=1800
show variables like '%timeout%';
5、密码过期
## 此项配置后对所有用户有效,慎用!要求是密码过期不得超过180天 default_password_lifetime=90 ## 此命令是对单个用户配置密码过期 ALTER USER 'root'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
6、管理员、审计员、操作员
此项需要新建几个用户并配置相应的权限,还需要禁用或删除root账号。
业务中尽量不要使用root账号,权限最小化原则。
不得存在空密码的账号和无关账号。
select Host,User from mysql.user; grant select,insert on xinac_test.* TO 'auditor'@'127.0.0.1' IDENTIFIED BY 'Admin@123.com' WITH GRANT OPTION; grant select,insert on xinac_test.* TO 'operator'@'127.0.0.1' IDENTIFIED BY 'Admin@123.com' WITH GRANT OPTION; grant select,insert on xinac_test.* TO 'sadmin'@'127.0.0.1' IDENTIFIED BY 'Admin@123.com' WITH GRANT OPTION; ## 刷新权限使立即生效 FLUSH PRIVILEGES;
7、限定IP访问
## 单个IP或多个IP 192.168.100.% grant select,insert,update,delete,alter,create,index on xinac_test.* TO 'sadmin'@'192.168.100.200' IDENTIFIED BY 'Admin@123.com' WITH GRANT OPTION; ## 刷新权限使立即生效 FLUSH PRIVILEGES;
8、本地备份
本地备份可在服务器上备份,要求有定时备份策略,对数据和日志要求每天增备,每周全备。
可使用定时任务cron处理。
# 数据库-日志 30 3 */1 * * /root/backup.sh 30 4 */7 * * /root/backup.sh # 数据库-数据 45 3 */1 * * /root/backup.sh 45 4 */7 * * /root/backup.sh
9、异地备份
要求必须有异地备份,且备份源与备份目的地距离30km以上,且尽量不在同城。
① 将服务器上数据和日志打包到个人机器上保存,符合简单的异地备份。但要有备份周期和备份策略
② 用一台专用的服务器做备份服务器,但要符合“异地”的条件
③ 备份到云对像存储上,华为云、阿里云之类的都可以,最好不要同城,否则可能会被认为不符合“异地”
10、备份恢复测试
没错,还要求有数据恢复成功的测试。
这个可以新建一个测试库,将导出的sql文件导入到测试库即可。
11、安全传输、加密传输、数据保护
这个是说数据库要开启ssl安全连接,mysql 5.7及以上版本默认支持。
检查的方式:看`/var/lib/mysql/`目录下有没有`server-cert.pem`等pem文件,有的话一般是支持的;没有的话,拷一份过来也不一定有用;不过可以额外配置。
show variables like '%ssl%';