MySQL 安全加固配置(等保二级)

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
日志服务 SLS,月写入数据量 50GB 1个月
云数据库 RDS MySQL,高可用系列 2核4GB
简介: 数据库安全是等保测评和网络安全中的重要的一项内容,本文介绍一些常见的加固配置。

1、开启日志审计

日志审计包括general_log、slow_query_log、log-bin,这几项都需要开启

general_log=on
general_log_file=/var/lib/mysql/logs/mysql.log
slow_query_log=on
log-queries-not-using-indexes=on
slow-query-log-file=/var/lib/mysql/logs/slowquery.log
long_query_time=3
log-bin=mysql-bin
binlog_format=mixed
server-id=1

修改配置后需要重启mysql服务,验证方式:

show variables like'%general_log%';show variables like'%slow_query_log%';show variables like'%log-bin%';

2、密码策略插件

mysql数据库支持安装一些插件来增强数据库的功能。

密码策略插件在mysql 5.6的高版本及以上版本中已经默认存在,只需要开启即可使用。

plugin-load-add=validate_password.so
validate-password=FORCE_PLUS_PERMANENT
## 密码最小8位长度
validate_password_length=8
## 密码至少要包含1个大小写字母
validate_password_mixed_case_count=1
## 密码至少要包含1个数字
validate_password_number_count=1
## 密码强度检查等级 1/MEDIUM
validate_password_policy=1

修改配置后需要重启服务,验证方式:

show variables like'%validate_password%';SELECT PLUGIN_NAME, PLUGIN_STATUS
FROM INFORMATION_SCHEMA.PLUGINSWHERE PLUGIN_NAME LIKE'validate%';

3、登录失败处理插件

登录失败策略插件在mysql 5.6的高版本及以上版本中已经默认存在,只需要开启即可使用。

plugin-load-add=connection_control.so
connection-control=FORCE_PLUS_PERMANENT
connection-control-failed-login-attempts=FORCE_PLUS_PERMANENT
connection_control_failed_connections_threshold=5
connection_control_min_connection_delay=108000

修改配置后需要重启服务,验证方式:

show variables like'%connection%';SELECT PLUGIN_NAME, PLUGIN_STATUS
FROM INFORMATION_SCHEMA.PLUGINSWHERE PLUGIN_NAME LIKE'connection%';

4、登录超时

## 超时30分钟,默认是8小时
wait_timeout=1800
interactive_timeout=1800
show variables like'%timeout%';

5、密码过期

## 此项配置后对所有用户有效,慎用!要求是密码过期不得超过180天
default_password_lifetime=90
## 此命令是对单个用户配置密码过期
ALTER USER 'root'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;

6、管理员、审计员、操作员

此项需要新建几个用户并配置相应的权限,还需要禁用或删除root账号。

业务中尽量不要使用root账号,权限最小化原则。

不得存在空密码的账号和无关账号。

select Host,User from mysql.user;grant select,inserton xinac_test.* TO 'auditor'@'127.0.0.1' IDENTIFIED BY'Admin@123.com' WITH GRANT OPTION;grant select,inserton xinac_test.* TO 'operator'@'127.0.0.1' IDENTIFIED BY'Admin@123.com' WITH GRANT OPTION;grant select,inserton xinac_test.* TO 'sadmin'@'127.0.0.1' IDENTIFIED BY'Admin@123.com' WITH GRANT OPTION;## 刷新权限使立即生效
FLUSH PRIVILEGES;

7、限定IP访问

## 单个IP或多个IP 192.168.100.%grant select,insert,update,delete,alter,create,index on xinac_test.* TO 'sadmin'@'192.168.100.200' IDENTIFIED BY'Admin@123.com' WITH GRANT OPTION;## 刷新权限使立即生效
FLUSH PRIVILEGES;

8、本地备份

本地备份可在服务器上备份,要求有定时备份策略,对数据和日志要求每天增备,每周全备。

可使用定时任务cron处理。

# 数据库-日志303 */1 * * /root/backup.sh
304 */7 * * /root/backup.sh
# 数据库-数据453 */1 * * /root/backup.sh
454 */7 * * /root/backup.sh

9、异地备份

要求必须有异地备份,且备份源与备份目的地距离30km以上,且尽量不在同城。

① 将服务器上数据和日志打包到个人机器上保存,符合简单的异地备份。但要有备份周期和备份策略

② 用一台专用的服务器做备份服务器,但要符合“异地”的条件

③ 备份到云对像存储上,华为云、阿里云之类的都可以,最好不要同城,否则可能会被认为不符合“异地”

10、备份恢复测试

没错,还要求有数据恢复成功的测试。

这个可以新建一个测试库,将导出的sql文件导入到测试库即可。

11、安全传输、加密传输、数据保护

这个是说数据库要开启ssl安全连接,mysql 5.7及以上版本默认支持。

检查的方式:看`/var/lib/mysql/`目录下有没有`server-cert.pem`等pem文件,有的话一般是支持的;没有的话,拷一份过来也不一定有用;不过可以额外配置。

show variables like'%ssl%';





相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
MySQL数据库入门学习
本课程通过最流行的开源数据库MySQL带你了解数据库的世界。   相关的阿里云产品:云数据库RDS MySQL 版 阿里云关系型数据库RDS(Relational Database Service)是一种稳定可靠、可弹性伸缩的在线数据库服务,提供容灾、备份、恢复、迁移等方面的全套解决方案,彻底解决数据库运维的烦恼。 了解产品详情: https://www.aliyun.com/product/rds/mysql 
目录
相关文章
|
9天前
|
Ubuntu 安全 关系型数据库
安装与配置MySQL 8 on Ubuntu,包括权限授予、数据库备份及远程连接指南
以上步骤提供了在Ubuntu上从头开始设置、配置、授权、备份及恢复一个基础但完整的MySQL环境所需知识点。
145 7
|
6月前
|
关系型数据库 MySQL Java
【YashanDB知识库】原生mysql驱动配置连接崖山数据库
【YashanDB知识库】原生mysql驱动配置连接崖山数据库
【YashanDB知识库】原生mysql驱动配置连接崖山数据库
|
4月前
|
关系型数据库 MySQL Java
安装和配置JDK、Tomcat、MySQL环境,以及如何在Linux下更改后端端口。
遵循这些步骤,你可以顺利完成JDK、Tomcat、MySQL环境的安装和配置,并在Linux下更改后端端口。祝你顺利!
343 11
|
5月前
|
Ubuntu 关系型数据库 MySQL
在Ubuntu 22.04上配置和安装MySQL
以上就是在Ubuntu 22.04上配置和安装MySQL的步骤。这个过程可能看起来有点复杂,但只要按照步骤一步步来,你会发现其实并不难。记住,任何时候都不要急于求成,耐心是解决问题的关键。
631 30
|
5月前
|
关系型数据库 MySQL Linux
CentOS 7系统下详细安装MySQL 5.7的步骤:包括密码配置、字符集配置、远程连接配置
以上就是在CentOS 7系统下安装MySQL 5.7的详细步骤。希望这个指南能帮助你顺利完成安装。
1440 26
|
11月前
|
SQL 关系型数据库 MySQL
mysql主从复制概述和配置
【10月更文挑战第22天】MySQL 主从复制是一种将主服务器的数据复制到一个或多个从服务器的技术,实现读写分离,提高系统性能和可用性。主服务器记录变更日志,从服务器通过 I/O 和 SQL 线程读取并应用这些变更。适用于读写分离、数据备份和恢复、数据分析等场景。配置步骤包括修改配置文件、创建复制用户、配置从服务器连接主服务器并启动复制进程。
365 1
|
6月前
|
SQL 关系型数据库 MySQL
seatunnel配置mysql2hive
本文介绍了SeaTunnel的安装与使用教程,涵盖从安装、配置到数据同步的全过程。主要内容包括: 1. **SeaTunnel安装**:详细描述了下载、解压及配置连接器等步骤。 2. **模拟数据到Hive (fake2hive)**:通过编辑测试脚本,将模拟数据写入Hive表。 3. **MySQL到控制台 (mysql2console)**:创建配置文件并执行命令,将MySQL数据输出到控制台。 4. **MySQL到Hive (mysql2hive)**:创建Hive表,配置并启动同步任务,支持单表和多表同步。
|
5月前
|
存储 Oracle 关系型数据库
MySQL 8.4 配置SSL组复制(八个步骤)
MySQL 8.4 配置SSL组复制(八个步骤)
310 0
|
存储 SQL 关系型数据库
MySQL体系结构与配置
MySQL体系结构与配置
123 0
|
10月前
|
存储 SQL 关系型数据库
2024Mysql And Redis基础与进阶操作系列(1)作者——LJS[含MySQL的下载、安装、配置详解步骤及报错对应解决方法]
Mysql And Redis基础与进阶操作系列(1)之[MySQL的下载、安装、配置详解步骤及报错对应解决方法]

推荐镜像

更多