MySQL 安全加固配置(等保二级)

1、开启日志审计

日志审计包括general_log、slow_query_log、log-bin,这几项都需要开启

general_log=on
general_log_file=/var/lib/mysql/logs/mysql.log
slow_query_log=on
log-queries-not-using-indexes=on
slow-query-log-file=/var/lib/mysql/logs/slowquery.log
long_query_time=3
log-bin=mysql-bin
binlog_format=mixed
server-id=1

修改配置后需要重启mysql服务,验证方式:

show variables like '%general_log%';
show variables like '%slow_query_log%';
show variables like '%log-bin%';

2、密码策略插件

mysql数据库支持安装一些插件来增强数据库的功能。

密码策略插件在mysql 5.6的高版本及以上版本中已经默认存在,只需要开启即可使用。

plugin-load-add=validate_password.so
validate-password=FORCE_PLUS_PERMANENT
## 密码最小8位长度
validate_password_length=8
## 密码至少要包含1个大小写字母
validate_password_mixed_case_count=1
## 密码至少要包含1个数字
validate_password_number_count=1
## 密码强度检查等级 1/MEDIUM
validate_password_policy=1

修改配置后需要重启服务,验证方式:

show variables like '%validate_password%';


SELECT PLUGIN_NAME, PLUGIN_STATUS
       FROM INFORMATION_SCHEMA.PLUGINS
       WHERE PLUGIN_NAME LIKE 'validate%';

3、登录失败处理插件

登录失败策略插件在mysql 5.6的高版本及以上版本中已经默认存在,只需要开启即可使用。

plugin-load-add=connection_control.so
connection-control=FORCE_PLUS_PERMANENT
connection-control-failed-login-attempts=FORCE_PLUS_PERMANENT
connection_control_failed_connections_threshold=5
connection_control_min_connection_delay=108000

修改配置后需要重启服务,验证方式:

show variables like '%connection%';


SELECT PLUGIN_NAME, PLUGIN_STATUS
       FROM INFORMATION_SCHEMA.PLUGINS
       WHERE PLUGIN_NAME LIKE 'connection%';

4、登录超时

## 超时30分钟,默认是8小时
wait_timeout=1800
interactive_timeout=1800
show variables like '%timeout%';

5、密码过期

## 此项配置后对所有用户有效,慎用!要求是密码过期不得超过180天
default_password_lifetime=90

## 此命令是对单个用户配置密码过期
ALTER USER 'root'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;

6、管理员、审计员、操作员

此项需要新建几个用户并配置相应的权限,还需要禁用或删除root账号。

业务中尽量不要使用root账号,权限最小化原则。

不得存在空密码的账号和无关账号。

select Host,User from mysql.user;

grant select,insert on xinac_test.* TO 'auditor'@'127.0.0.1' IDENTIFIED BY 'Admin@123.com' WITH GRANT OPTION;
grant select,insert on xinac_test.* TO 'operator'@'127.0.0.1' IDENTIFIED BY 'Admin@123.com' WITH GRANT OPTION;
grant select,insert on xinac_test.* TO 'sadmin'@'127.0.0.1' IDENTIFIED BY 'Admin@123.com' WITH GRANT OPTION;

## 刷新权限使立即生效
FLUSH PRIVILEGES;

7、限定IP访问

## 单个IP或多个IP 192.168.100.%
grant select,insert,update,delete,alter,create,index on xinac_test.* TO 'sadmin'@'192.168.100.200' IDENTIFIED BY 'Admin@123.com' WITH GRANT OPTION;

## 刷新权限使立即生效
FLUSH PRIVILEGES;

8、本地备份

本地备份可在服务器上备份,要求有定时备份策略,对数据和日志要求每天增备,每周全备。

可使用定时任务cron处理。

# 数据库-日志
30 3 */1 * * /root/backup.sh
30 4 */7 * * /root/backup.sh
# 数据库-数据
45 3 */1 * * /root/backup.sh
45 4 */7 * * /root/backup.sh

9、异地备份

要求必须有异地备份,且备份源与备份目的地距离30km以上,且尽量不在同城。

① 将服务器上数据和日志打包到个人机器上保存,符合简单的异地备份。但要有备份周期和备份策略

② 用一台专用的服务器做备份服务器,但要符合“异地”的条件

③ 备份到云对像存储上,华为云、阿里云之类的都可以,最好不要同城,否则可能会被认为不符合“异地”

10、备份恢复测试

没错,还要求有数据恢复成功的测试。

这个可以新建一个测试库,将导出的sql文件导入到测试库即可。

11、安全传输、加密传输、数据保护

这个是说数据库要开启ssl安全连接,mysql 5.7及以上版本默认支持。

检查的方式:看`/var/lib/mysql/`目录下有没有`server-cert.pem`等pem文件,有的话一般是支持的;没有的话,拷一份过来也不一定有用;不过可以额外配置。

show variables like '%ssl%';





上一篇:【译】Apache spark 2.4:内置 Image Data Source的介绍


下一篇:Docker虚拟化技术系列之-Docker安装配置