MySql数据库安全配置基线讲解.doc

Mysql数据库系统安全配置基线  版本 版本控制信息 更新日期 更新人 审批人 V2.0 创建 2012年4月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 第1章 概述 4 1.1 目的 4 1.2 适用范围 4 1.3 适用版本 4 1.4 实施 4 1.5 例外条款 4 第2章 帐号 5 2.1 帐号安全 5 2.1.1 禁止Mysql以管理员帐号权限运行 5 2.1.2 避免不同用户间共享帐号* 5 2.1.3 删除无关帐号* 6 第3章 口令 8 3.1 口令安全 8 3.1.1 不使用默认密码和弱密码 8 3.2 授权 8 3.2.1 分配用户最小权限* 8 第4章 日志 10 4.1 日志审计 10 4.1.1 配置日志功能* 10 第5章 其他 12 5.1 其他配置 12 5.1.1 安装了最新的安全补丁* 12 5.1.2 如果不需要，应禁止远程访问* 12 5.1.3 可信IP地址访问控制* 13 5.1.4 连接数设置 14 第6章 评审与修订 15  概述 目的 本文档旨在指导管理人员进行的安全配置。本的使用者包括：管理员、应用管理员、网络安全管理员。实施例外条款  帐号 帐号安全 禁止Mysql以管理员帐号权限运行 安全基线项目名称 数据库管理系统Mysql远程登录安全基线要求项 安全基线编号 SBL-Mysql-02-01-01 安全基线项说明 以普通帐户安全运行mysqld，禁止mysql以管理员帐号权限运行。 检测操作步骤 1、参考配置操作 Unix下可以通过在/etc/f中设置： [mysql.server] user=mysql 2、补充操作说明 基线符合性判定依据 1、判定条件 各种操作系统下以管理员权限运行。 Unix下禁止以root帐号运行mysqld; 2、检测操作 检查进程属主和运行参数是否包含--user=mysql类似语句： # ps –ef | grepmysqld #grep -i user /etc/f 备注 避免不同用户间共享帐号* 安全基线项目名称 数据库管理系统Mysql用户属性控制策略安全基线要求项 安全基线编号 SBL-Mysql-02-01-02 安全基线项说明 应按照用户分配帐号，避免不同用户间共享帐号 检测操作步骤 1．参考配置操作 //创建用户 mysql mysql insert into mysql.user(Host,User,Password,ssl_cipher,x509_issuer,x509_sub ject) values(localhost,pppadmin,password(passwd),,,); 这样就创建了一个名为：phplamp 密码为：1234 的用户。 然后登录一下。 mysqlexit; @mysql -u phplamp -p @输入密码 mysql登录成功 2．补充操作说明 基线符合性判定依据 1.判定条件 不用名称的用户可以连接数据库 2.检测操作 使用不同用户连接数据库 备注 手工检查 删除无关帐号* 安全基线项目名称 数据库管理系统Mysql帐号管理安全基线要求项 安全基线编号 SBL-Mysql-02-01-03 安全基线项说明 应删除或锁定与数据库运行、维护等工作无关的帐号 检测操作步骤 1．参考配置操作 DROP USER语句用于删除一个或多个MySQL账户。要使用DROP USER，必须拥有mysql数据库的全局CREATE USER权限或DELETE权限。账户名称的用户和主机部分与用户表记录的User和Host列值相对应。 使用DROP USER，您可以取消一个账户和其权限，操作如下： DROP USER user; 该语句可以删除来自所有授权表的帐户权限记录。 2．补充操作说明 要点： DROP USER不能自动关闭任何打开的用户对话。而且，如果用户有打开的对话，此时取消用户，则命令不会生效，直到用户对话被关闭后才生效。一旦对话被关闭，用户也被取消，此用户再次试图登录时将会失败。 基线符合性判定依据 检测操作： mysql 查看所有用户的语句 输入指令select user(); 依次检查所列出的账户是否为必要账户，删除无用户或过期账户。 注：无关的帐号主要指测试帐户、共享帐号、长期不用帐号（半年以上不用）等 备注 手工检查  口令 口令安全 不使用默认密码和弱密码 安全基线项目名称 数据库管理系统Mysql账户口令安全基线要求项 安全基线编号 S