工控安全职业证书技能实践：工控设备数据安全权限配置实战.docxVIP

PAGE 2 工控设备数据安全权限配置实战 课程级别 信息安全专业工业互联网安全方向。 实验概述 此实验主要内容是掌握工控设备如何进行数据安全权限的配置。本次实验主要以Mysql数据库为例，介绍的主要内容为操作系统级配置、文件系统权限配置、MySQL权限安全配置，以及相应的配置要分配的权限等级。 实验目标 掌握如何进行操作系统级配置 学会如何进行文件系统权限配置 掌握如何进行MySQL权限安全配置 预备知识 工控设备数据安全权限配置基础知识 建议课时数 4个课时 实验环境准备 Mysql数据库 Linux操作系统 实验步骤 某电力监控系统处于初步建立阶段，经过领导商讨，决定使用Mysql数据库作为本工控系统的数据库管理系统。为满足日常工作需求，请你为该Mysql数据库进行数据安全权限配置。 任务一 操作系统级配置 1. 禁止MySQL操作系统账号登陆 在linux /UNIX上，mysql客户机将交互式执行的语句记录到一个历史文件中。大多数在mysql客户机应用程序中运行的交互式命令都保存到历史文件中。应该禁用mysql命令历史记录。 ①将mysql_histfile环境变量设置为/dev/null.这将需要放在shell的启动脚本中。 vi ~/.bashrc 添加以下配置： 修改完后，保存退出，执行如下命令，使更改生效： source ~/.bashrc ②创建$HOME/mysql_history作为/dev/null的链接。 ln -s /dev/null $HOME/.mysql_history 2. 禁止MySQL操作系统账号登陆 MySQL系统账号在安装完数据库后，不应该有其他用途。建议禁止该账号登陆操作系统。此举在防止黑客利用MySQL数据库漏洞反射shell有极佳效果。 假设MySQL数据库操作系统账号就是mysql，执行下列命令： 如果没有返回行则说明存在安全隐患, 执行下列语句禁止mysql用户登陆： usermod -s /sbin/nologin mysql 任务二 文件系统权限配置 1. 设置“log-bin”二进制日志文件的权限 log-bin就是binary log，即二进制日志文件，这个文件记录了mysql所有的dml操作。限制二进制日志文件的权限将有益于保护数据信息不泄漏，或被恶意修改 执行sql命令查看log-bin日志文件状态及相关配置 show variables like log_bin%; 检查日志文件的权限是660并且属于mysql:mysql 2. 设置“slow_query_log”慢查询日志文件的权限 慢查询日志用来记录在MySQL中响应时间超过阀值（long_query_time）的语句。限制慢查询日志文件的权限将有益于保护数据信息不泄漏，或被恶意修改。 ①执行sql查看slow_query_log慢查询日志文件状态及相关配置 show variables like %slow_query_log%; ②执行命令打开慢查询日志 3. 设置“relay_log_basename”中继日志文件的权限 MySQL在进行主主复制或主从复制的时候会在home目录下面产生相应的relay log。限制中继日志文件的权限将有益于保护数据信息不泄漏，或被恶意修改。 执行sql查看中继日志文件状态及相关配置: show variables like relay_log_basename; 4. 设置“general_log”普通日志文件的权限 记录建立的客户端连接和执行的语句。限制普通日志文件的权限将有益于保护数据信息不泄漏，或被恶意修改。 ①执行sql查看普通日志文件状态及相关配置 show variables like %general_log%; ②执行SQL语句，开启普通日志 set global general_log = on; 任务三 MySQL权限安全配置 1. 设置仅管理员用户具有所有数据库的访问权限 除了管理员账号，其他用户没必要有所有数据库的访问权限。过高的权限会导致安全问题。 输入以下命令进行检查: SELECT user, host FROM mysql.user WHERE (Select_priv = Y) OR (Insert_priv = Y) OR (Update_priv = Y) OR (Delete_priv = Y) OR (Create_priv = Y) OR (Drop_priv = Y); 如果返回的都是管理员账号说明安全，否则需要对用户清除权限 2. 禁用非管理员用户的“File_priv” File_priv权限用于允许或禁止MySQL用户在服务器主机上读写文件。黑客很可能利用这一点盗取数据库中敏感数据。 输入以下命令进行检查: