数据库基线检查与安全加固.pptxVIP

提纲MySQL服务安全加固MongoDB服务安全加固Memcached服务安全加固Redis服务安全加固0

MySQL服务安全加固

2MySQL服务安全加固1.帐号安全禁止Mysql以管理员帐号权限运行以普通帐户安全运行mysqld，禁止以管理员帐号权限运行MySQL服务。在/etc/f配置文件中进行以下设置。[mysql.server]user=mysql

3MySQL服务安全加固1.帐号安全避免不同用户间共享帐号参考以下步骤。a.创建用户。mysqlmysqlinsertintomysql.user(Host,User,Password,ssl_cipher,x509_issuer,x509_subject)values(localhost,pppadmin,password(passwd),,,);执行以上命令可以创建一个phplamp用户。b.使用该用户登录MySQL服务。mysqlexit;@mysql-uphplamp-p@输入密码mysql登录成功

4MySQL服务安全加固1.帐号安全删除无关帐号DROPUSER语句可用于删除一个或多个MySQL账户。使用DROPUSER命令时，必须确保当前账号拥有MySQL数据库的全局CREATEUSER权限或DELETE权限。账户名称的用户和主机部分分别与用户表记录的User和Host列值相对应。执行DROPUSERuser;语句，您可以取消一个账户和其权限，并删除来自所有授权表的帐户权限记录。

5MySQL服务安全加固2.口令检查账户默认密码和弱密码。口令长度需要至少八位，并包括数字、小写字母、大写字母和特殊符号四类中的至少两种类型，且五次以内不得设置相同的口令。密码应至少每90天进行一次更换。您可以通过执行以下命令修改密码：mysqlupdateusersetpassword=password(test!p3)whereuser=root;mysqlflushprivileges;

6MySQL服务安全加固3.授权在数据库权限配置能力范围内，根据用户的业务需要，配置其所需的最小权限。（1）查看数据库授权情况。

7MySQL服务安全加固3.授权（2）通过revoke命令回收不必要的或危险的授权

8MySQL服务安全加固4.开启日志审计功能（1）数据库应配置日志功能，便于记录运行状况和操作行为。MySQL服务有以下几种日志类型：错误日志：-log-err查询日志：-log（可选）慢查询日志：-log-slow-queries（可选）更新日志：-log-update二进制日志：-log-bin（2）找到MySQL的安装目录，在my.ini配置文件中增加上述所需的日志类型参数，保存配置文件后，重启MySQL服务即可启用日志功能。例如：

9MySQL服务安全加固4.开启日志审计功能该参数中启用错误日志。如果您需要启用其他的日志，只需把对应参数前面的“#”删除即可。（3）日志查询操作说明执行showvariableslikelog_%;命令可查看所有的log。执行showvariableslikelog_bin;命令可查看具体的log。

10MySQL服务安全加固5.安装最新补丁确保系统安装了最新的安全补丁。注意：在保证业务及网络安全的前提下，并经过兼容性测试后，安装更新补丁。6.如果不需要，应禁止远程访问禁止网络连接，防止猜解密码攻击、溢出攻击、和嗅探攻击。注意：仅限于应用和数据库在同一台主机的情况。如果数据库不需要远程访问，可以禁止远程TCP/IP连接，通过在MySQL服务器的启动参数中添加--skip-networking参数使MySQL服务不监听任何TCP/IP连接，增加安全性。

11MySQL服务安全加固7.设置可信IP访问控制通过数据库所在操作系统的防火墙限制，实现只有信任的IP才能通过监听器访问数据库。mysqlGRANTALLPRIVILEGESONdb.*·--TO用户名@IP子网/掩码’;8.连接数设置根据您的机器性能和业务需求，设置最大、最小连接数。在MySQL配置文件（my.conf或my.ini）的[mysqld]配置段中添加max_connections=1000，保存配置文件，重启MySQL服务后即可生效。

12phpMyadmin服务安全加固漏洞描述phpMyadmin是一款流行的数据库管理系统，如果口令设置过于简单，攻击者可以登录到系统，对数据库进行任意增、删、改等高风险恶意操作，从而导致数据泄露或其他入侵事件发生，安全风险高。加固