MYSQL安全策略→▉收集整理▋

本文涉及的产品
云数据库 RDS SQL Server,独享型 2核4GB
云数据库 RDS MySQL Serverless,0.5-2RCU 50GB
简介:

MySQL安全策略


导读

数据库安全运维是企业业务正常运转的基石,容不得马虎

除了MySQL自身的账号密码安全管理,系统层面、应用层面的安全策略你注意到了吗?
数据是企业核心资产,数据对企业而言是最重要的工作之一。稍有不慎,极有可能发生数据无意泄露,甚至被黑客恶意窃取的风险。每年业界都会传出几起大事件,某知名或不知名的公司被脱裤(拖库的谐音,意思是整个数据库被黑客盗取)之类的。
从数据安全上也可以分为外网安全及内部操作安全,下面分别讨论一下。


内部操作安全策略
1. 是否回收DBA全部权限

    试想,如果DBA没权限了,日常DB运维的活,以及紧急故障处理,该怎么实施呢?因此,

    建议在没有成熟的自动化运 维平台前,不应该粗暴的回收DBA的太多权限,否则可能会导致工作效率降低的,

    甚至  DBA有一种不被信任的负面情绪。

2、MySQL层安全策略
     业务帐号最多只可以通过内网远程登录,而不能通过公网远程连接。
     增加运维平台账号,该账号允许从专用的管理平台服务器远程连接。当然了,要对管理平台部署所在服务器做好安全措施以及必要的

     安全审计策略。
     建议启用数据库审计功能。这需要使用MySQL企业版,或者Percona/MariaDB分支版本,MySQL社区版本不支持该功能。
     启用 safe-update 选项,避免没有 WHERE 条件的全表数据被修改;
     在应用中尽量不直接DELETE删除数据,而是设置一个标志位就好了。需要真正删除时,交由DBA先备份后再物理删除,避免误操作

     删除全部数据。还可以采用触发器来做一些辅助功能,比如防止黑客恶意篡改数据。

3、MySQL账号权限规则
      业务帐号,权限最小化,坚决不允许DROP、TRUNCATE权限。
      业务账号默认只授予普通的DML所需权限,也就是select、update、insert、delete、execute等几个权限,其余不给。
      MySQL初始化后,先行删除无用账号,删除匿名test数据库
      mysql> delete from mysql.user where user!='root' or host!='localhost'; flush privileges;
      mysql> drop database test;

      创建备份专用账号,只有SELECT权限,且只允许本机可登入。
      设置MySQL账号的密码安全策略,包括长度、复杂性。

     
4、关于数据备份
       记住,做好数据全量备份是系统崩溃无法修复时的最后一概救命稻草。
       备份数据还可以用来做数据审计或是用于数据仓库的数据源拉取之用。
       一般来说,备份策略是这样的:每天一次全备,并且定期对binlog做增备,或者直接利用binlog server机制将binlog传输到其他远程

      主机上。有了全备+binlog,就可以按需恢复到任何时间点。
      特别提醒:当采用xtrabackup的流式备份时,考虑采用加密传输,避免备份数据被恶意截取。


外网安全策略
事实上,操作系统安及应用安全要比数据库自身的安全策略更重要。同理,应用程序及其所在的服务器端的系统安全也很重要,

很多数据安全事件,都是通过代码漏洞入侵到应用服务器,再去探测数据库,最后成功拖库。

1、 操作系统安全建议
        运行MySQL的Linux必须只运行在内部网络,不允许直接对公网暴露,实在有需要从公网连接的话,再通过跳板机做端口转发,

        并且如上面所述,要严格限制数据库账号权限级别。
        系统账号都改成基于ssh key认证,不允许远程密码登入,且ssh key的算法、长度有要求以确保相对安全。

        这样就没有密码丢失的风险, 除非个人的私钥被盗。
        进一步的话,甚至可以对全部服务器启用PAM认证,做到账号的统一管理,也更方便、安全。
        关闭不必要的系统服务,只开必须的进程,例如 mysqld、sshd、networking、crond、syslogd 等服务,其它的都关闭。
        禁止root账号远程登录。
        禁止用root账号启动mysqld等普通业务服务进程。
        sshd服务的端口号建议修改成10000以上。
       在不影响性能的前提下,尽可能启用对MySQL服务端口的防火墙策略(高并发时,采用iptables可能影响性能,

        建议改用ip route策略)。
       GRUB必须设置密码,物理服务器的Idrac/imm/ilo等账号默认密码也要修改。
       每个需要登入系统的员工,都使用每个人私有帐号,而不是使用公共账号。
       应该启用系统层的操作审计,记录所有ssh日志,或利bash记录相应的操作命令并发送到远程服务器,然后进行相应的安全审计,

       及时发现不安全操作。
       正确设置MySQL及其他数据库服务相关目录权限,不要全是755,一般750就够了。
       可以考虑部署堡垒机,所有连接远程服务器都需要先通过堡垒机,堡垒机上就可以实现所有操作记录以及审计功能了。
       脚本加密对安全性提升其实没太大帮助。对有经验的黑客来说,只要有系统登入权限,就可以通过提权等方式轻松获得root。

2、应用安全建议
      禁用web server的autoindex配置。
      从制度层面,杜绝员工将代码上传到外部github上,可能存在内部IP、账号密码泄露的风险,真的要上传必须先经过安全审核。
      尽量不要在公网上使用开源的cms、blog、论坛等系统,除非做过代码安全审计,或者事先做好安全策略。这类系统一般都是黑客

      重点研究对象,很容易被搞;
      在web server层,可以用一些安全模块,比如nginx的WAF模块;
      在应用层,可以做好代码安全审计、安全扫描,防止XSS攻击、CSRF攻击、SQL注入、文件上传攻击、绕过cookie检测等安全漏洞;
      应用程序中涉及账号密码的地方例如JDBC连接串配置,尽量把明文密码采用加密方式存储,再利用内部私有的解密工具进行

      反解密后再使用。或者可以让应用程序先用中间账号连接proxy层,再由proxy连接MySQL,避免应用层直连MySQL;
  

总结:

1、任何高明的安全策略,都不如内部员工的安全意识来的重要。

2、安全无小事,每个人都应铭记于心。在数据安全面前,可以适当牺牲一些便利性,当然也不能太过,否则可能得不偿失。



本文转自 boy461205160 51CTO博客,原文链接:http://blog.51cto.com/461205160/1956127

相关实践学习
基于CentOS快速搭建LAMP环境
本教程介绍如何搭建LAMP环境,其中LAMP分别代表Linux、Apache、MySQL和PHP。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
相关文章
|
8月前
|
存储 关系型数据库 MySQL
MySQL数据库实验九 MySQL应用系统开发
MySQL数据库实验九 MySQL应用系统开发
180 0
|
8月前
|
安全 关系型数据库 MySQL
MySQL数据库实验七 MySQL安全管理
MySQL数据库实验七 MySQL安全管理
90 0
|
10月前
|
存储 SQL 安全
安全攻防 | mysql安全问题及修复方式
安全攻防 | mysql安全问题及修复方式
175 0
|
SQL 监控 安全
数据库原理及MySQL应用 | 数据库安全加固
数据库安全至关重要,可从多方面对数据库进行加固。
152 0
数据库原理及MySQL应用 | 数据库安全加固
|
SQL 存储 安全
MySQL数据安全策略
MySQL数据安全策略
|
SQL 存储 安全
|
存储 SQL 安全
MySQL安全加固方法分享
数据库作为数据存储的载体,在程序开发中承担着至关重要的作用。近些年,随着各种安全事故的发生,数据安全性逐渐得到重视。等保评测或各类系统安全评测中也都有增加数据库安全相关要求,本篇文章将以 MySQL 为例,分享几点数据库安全加固方法。
390 0
|
SQL 安全 关系型数据库
[WEB安全]MySQl提权 mof、udf过程详解(下)
[WEB安全]MySQl提权 mof、udf过程详解
342 0
[WEB安全]MySQl提权 mof、udf过程详解(下)
|
SQL 监控 安全
[WEB安全]MySQl提权 mof、udf过程详解(上)
[WEB安全]MySQl提权 mof、udf过程详解
236 0
[WEB安全]MySQl提权 mof、udf过程详解(上)
|
运维 安全 关系型数据库
写了个工具,完美破解了MySQL!!
最近有很多小伙伴问我:冰河,咋感觉你啥都会呀?Java、Python、大数据、分布式、微服务、系统架构、运维、渗透,请问你平时是怎么学习的呢?我:个人觉得最好的学习方法就是,在平时的工作过程中,遇到问题多总结,注意积累解决问题的方案,及时查漏补缺,逐渐形成一套自己的方法论。
476 0
写了个工具,完美破解了MySQL!!