MySQL數(shù)據(jù)庫安全規(guī)范

1、 MySQL數(shù)據(jù)庫安全規(guī)范AIX專家俱樂部 微信號(hào) AIXchina功能介紹 AIX專家俱樂部是大中型企業(yè)IT運(yùn)維主管技術(shù)交流社區(qū)，我們?cè)诖送扑蛠碜陨鐓^(qū)的原創(chuàng)干貨文章及精選資源，包括企業(yè)IT基礎(chǔ)架構(gòu)選型、設(shè)計(jì)、系統(tǒng)集成、實(shí)施、測試、運(yùn)維、合規(guī)、調(diào)優(yōu)等。以及虛擬化、云計(jì)算、大數(shù)據(jù)等互聯(lián)網(wǎng)技術(shù)的理論解讀、趨勢分析。在生產(chǎn)中，安全是相當(dāng)重要，畢竟你的核心數(shù)據(jù)都在里面，MySQL因?yàn)槠溟_源的流行性，大量個(gè)人，企業(yè)，政府單位采用，但是，很多部署的時(shí)候采用都是默認(rèn)的配置，這就導(dǎo)致了安全的相對(duì)欠缺，你需要針對(duì)你的安全有所加強(qiáng)。總的來說，數(shù)據(jù)庫一般劃分為生產(chǎn)庫，壓測庫，準(zhǔn)生產(chǎn)庫，測試庫，開發(fā)庫。下面部分主要說

2、的是生產(chǎn)庫，但其他庫也適用。1 mysql_secure_installation這是數(shù)據(jù)庫基礎(chǔ)的安全設(shè)置腳本a 設(shè)置root密碼b 移除匿名用戶c 禁止遠(yuǎn)程root登錄d 移除test數(shù)據(jù)庫以上是5.6版本，5.7有所加強(qiáng)但也僅此而以，看看你的環(huán)境是否存在上述問題，這個(gè)算是是最基本的安全吧。2 連接訪問安全常見創(chuàng)建用戶的時(shí)候你需要指定你的ip訪問地址范圍或者固定ip，一般化而言，只有特定唯一的幾個(gè)ip的才會(huì)訪問，或者說你可以采用代理訪問的方式，減少應(yīng)用直接訪問你的數(shù)據(jù)庫，而且現(xiàn)在很多中間件也都有白名單機(jī)制，原則上是把非法請(qǐng)求防止在數(shù)據(jù)庫以外的地方。規(guī)范數(shù)據(jù)庫管理軟件，實(shí)現(xiàn)管理軟件的標(biāo)準(zhǔn)、統(tǒng)一

3、化，還有嚴(yán)禁杜絕開啟外網(wǎng)訪問，如果客戶端在遠(yuǎn)程，就根本不應(yīng)該直接訪問數(shù)據(jù)庫，而應(yīng)該使用中間件堡壘機(jī)或其他替代方案。為了防止連入數(shù)據(jù)庫的應(yīng)用程序存在后門，造成數(shù)據(jù)庫安全隱患，檢查所有連接數(shù)據(jù)庫程序的安全性。通過使用堡壘機(jī)或者其他監(jiān)控登錄數(shù)據(jù)庫，禁止對(duì)數(shù)據(jù)庫的直接操作。對(duì)已經(jīng)連接的IP網(wǎng)段進(jìn)行規(guī)范化、統(tǒng)一化的管理，定期進(jìn)行權(quán)限復(fù)核操作，對(duì)系統(tǒng)所屬IP、用戶進(jìn)行權(quán)限梳理工作。對(duì)員工進(jìn)行安全培訓(xùn)，增強(qiáng)員工的系統(tǒng)安全觀念，做到細(xì)心操作，安全操作。確保訪問數(shù)據(jù)庫的主機(jī)為已知用戶或者主機(jī)，使用專門主機(jī)與數(shù)據(jù)庫進(jìn)行連接。對(duì)重要業(yè)務(wù)表的所有行為，全部審計(jì)，審計(jì)同時(shí)所有包括即使是DBA的DDL操作行為最后是報(bào)表系

4、統(tǒng)，利用審計(jì)的相關(guān)日志，出具系統(tǒng)化的審計(jì)報(bào)告。3 權(quán)限安全權(quán)限這塊無可厚非，在簡歷之初遵循最小權(quán)限原則，堅(jiān)持最小權(quán)限原則，是數(shù)據(jù)庫安全的重要步驟。很多時(shí)候我們不知道具體的最小權(quán)限是什么，你說一個(gè)賬號(hào)到底需要什么樣權(quán)限才合適，才不會(huì)影響業(yè)務(wù)？這個(gè)不是很好界定。我們需要知道在設(shè)置權(quán)限時(shí)的信息，要授予的權(quán)限級(jí)別,庫級(jí)別，表級(jí)別，列級(jí)別，或者其他超級(jí)權(quán)限，要授予的權(quán)限類型，增刪改查等從mysql.user表來看Select_priv/Insert_priv/Update_priv/Delete_priv/Create_priv/Drop_privReload_priv/Shutdown_priv/Pr

5、ocess_priv/File_priv/Grant_priv/References_privIndex_priv/Alter_priv/Show_db_priv/Super_priv/Create_tmp_table_priv/Lock_tables_privExecute_priv/Repl_slave_priv/Repl_client_priv/Create_view_priv/Show_view_priv/Create_routine_priv/Alter_routine_priv/Create_user_priv/Event_priv/Trigger_priv/Create_tabl

6、espace_priv用戶名,IP地址，是否需要連接數(shù)控制，SSL，過期時(shí)間等，不要怕麻煩，可能前期設(shè)置的時(shí)候比較繁瑣，但是，一個(gè)好的基礎(chǔ)設(shè)置，才是安全的保障，做到需要什么給什么，而不是。4 賬戶安全用戶賬戶劃分原則超級(jí)管理員賬號(hào)系統(tǒng)應(yīng)用賬號(hào)（比如備份，監(jiān)控，審計(jì)等）應(yīng)用業(yè)務(wù)賬號(hào)業(yè)務(wù)人員賬號(hào)開發(fā)人員賬號(hào)測試人員賬號(hào)其他專用賬號(hào)主要是防止泄漏，非必要人員不需要知道賬號(hào)的名稱，同時(shí)需要制定相應(yīng)的命名規(guī)則，還有就是合理使用自己的賬號(hào)密碼，保護(hù)好你的賬號(hào)密碼，對(duì)于絕無必要的用戶，先禁用，后期刪除，要做到無匿名賬戶和無廢棄賬戶。5 目錄文件安全提高本地安全性，主要是防止mysql對(duì)本地文件的存取，會(huì)對(duì)系

7、統(tǒng)構(gòu)成威脅，還有Load DATA LOCAL INFILE，禁用該功能。這個(gè)主要是防止誤刪除，非權(quán)限用戶禁止訪問目錄，還有就是數(shù)據(jù)文件禁止訪問，或者采用更改常用的目錄路徑，或者通過chroot，要保證該目錄不能讓未經(jīng)授權(quán)的用戶訪問后把數(shù)據(jù)庫打包拷貝走了，所以要限制對(duì)該目錄的訪問。6 密碼安全密碼強(qiáng)度復(fù)雜性盡量并且不要使用固定密碼，實(shí)行每個(gè)用戶單獨(dú)密碼，長度在16位以上 0-9a-zA-Z!#$%&*()-+ 隨機(jī)組合。密碼過期機(jī)制根據(jù)公司的情況設(shè)定密碼過期時(shí)間，定期更改，同時(shí)不可使用重復(fù)密碼。密碼保存機(jī)制為了方便管理，可能會(huì)采用一個(gè)密碼表，要加強(qiáng)對(duì)于密碼表的維護(hù)更新，最重要的是保證不泄漏。7

8、 漏洞安全常規(guī)的方式是安裝補(bǔ)丁，不過這個(gè)往往比較麻煩，主要是版本升級(jí)，還有就是防護(hù)策略。8 被忽視的SSL由于性能或者其他方面原因，很多生產(chǎn)環(huán)境并沒有使用，不過從5.7+開始，已經(jīng)好很多了，有需要的加強(qiáng)安全防范其實(shí)可以嘗試下了。/doc/refman/5.7/en/mysql-ssl-rsa-setup.html9 防火墻安全一般化數(shù)據(jù)庫前面都會(huì)有主備的墻，不過從成本上考慮，很多企業(yè)都是單個(gè)或者裸奔的，有自己的硬件防火墻最好，沒有的話也可以使用系統(tǒng)自帶的防火墻，然后在加上其他白名單和中間件白名單過濾輔助措施，也能防止一部分問題。10 端口安全默認(rèn)端口是3306，這個(gè)最好修改下，為了方便記憶，你可以根據(jù)的ip地址來加密動(dòng)態(tài)調(diào)整，不過如果生產(chǎn)網(wǎng)絡(luò)允許，也可以定期修改，最好不要影響研發(fā)進(jìn)度。11 記錄安全刪除操作系統(tǒng)記錄的敏感數(shù)據(jù)，比如.mysql_history、.bash_history 等，及時(shí)清理，移除和禁用.mysql_history文件。人是安全的主導(dǎo)，管理的對(duì)象要從兩個(gè)角度來看，從信息角度來說就是MySQL本身的安全，要防止數(shù)據(jù)的丟