MySQL 安全加固配置(等保二级)

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS PostgreSQL,集群系列 2核4GB
简介: 数据库安全是等保测评和网络安全中的重要的一项内容,本文介绍一些常见的加固配置。

1、开启日志审计

日志审计包括general_log、slow_query_log、log-bin,这几项都需要开启

general_log=on
general_log_file=/var/lib/mysql/logs/mysql.log
slow_query_log=on
log-queries-not-using-indexes=on
slow-query-log-file=/var/lib/mysql/logs/slowquery.log
long_query_time=3
log-bin=mysql-bin
binlog_format=mixed
server-id=1

修改配置后需要重启mysql服务,验证方式:

show variables like'%general_log%';show variables like'%slow_query_log%';show variables like'%log-bin%';

2、密码策略插件

mysql数据库支持安装一些插件来增强数据库的功能。

密码策略插件在mysql 5.6的高版本及以上版本中已经默认存在,只需要开启即可使用。

plugin-load-add=validate_password.so
validate-password=FORCE_PLUS_PERMANENT
## 密码最小8位长度
validate_password_length=8
## 密码至少要包含1个大小写字母
validate_password_mixed_case_count=1
## 密码至少要包含1个数字
validate_password_number_count=1
## 密码强度检查等级 1/MEDIUM
validate_password_policy=1

修改配置后需要重启服务,验证方式:

show variables like'%validate_password%';SELECT PLUGIN_NAME, PLUGIN_STATUS
FROM INFORMATION_SCHEMA.PLUGINSWHERE PLUGIN_NAME LIKE'validate%';

3、登录失败处理插件

登录失败策略插件在mysql 5.6的高版本及以上版本中已经默认存在,只需要开启即可使用。

plugin-load-add=connection_control.so
connection-control=FORCE_PLUS_PERMANENT
connection-control-failed-login-attempts=FORCE_PLUS_PERMANENT
connection_control_failed_connections_threshold=5
connection_control_min_connection_delay=108000

修改配置后需要重启服务,验证方式:

show variables like'%connection%';SELECT PLUGIN_NAME, PLUGIN_STATUS
FROM INFORMATION_SCHEMA.PLUGINSWHERE PLUGIN_NAME LIKE'connection%';

4、登录超时

## 超时30分钟,默认是8小时
wait_timeout=1800
interactive_timeout=1800
show variables like'%timeout%';

5、密码过期

## 此项配置后对所有用户有效,慎用!要求是密码过期不得超过180天
default_password_lifetime=90
## 此命令是对单个用户配置密码过期
ALTER USER 'root'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;

6、管理员、审计员、操作员

此项需要新建几个用户并配置相应的权限,还需要禁用或删除root账号。

业务中尽量不要使用root账号,权限最小化原则。

不得存在空密码的账号和无关账号。

select Host,User from mysql.user;grant select,inserton xinac_test.* TO 'auditor'@'127.0.0.1' IDENTIFIED BY'Admin@123.com' WITH GRANT OPTION;grant select,inserton xinac_test.* TO 'operator'@'127.0.0.1' IDENTIFIED BY'Admin@123.com' WITH GRANT OPTION;grant select,inserton xinac_test.* TO 'sadmin'@'127.0.0.1' IDENTIFIED BY'Admin@123.com' WITH GRANT OPTION;## 刷新权限使立即生效
FLUSH PRIVILEGES;

7、限定IP访问

## 单个IP或多个IP 192.168.100.%grant select,insert,update,delete,alter,create,index on xinac_test.* TO 'sadmin'@'192.168.100.200' IDENTIFIED BY'Admin@123.com' WITH GRANT OPTION;## 刷新权限使立即生效
FLUSH PRIVILEGES;

8、本地备份

本地备份可在服务器上备份,要求有定时备份策略,对数据和日志要求每天增备,每周全备。

可使用定时任务cron处理。

# 数据库-日志303 */1 * * /root/backup.sh
304 */7 * * /root/backup.sh
# 数据库-数据453 */1 * * /root/backup.sh
454 */7 * * /root/backup.sh

9、异地备份

要求必须有异地备份,且备份源与备份目的地距离30km以上,且尽量不在同城。

① 将服务器上数据和日志打包到个人机器上保存,符合简单的异地备份。但要有备份周期和备份策略

② 用一台专用的服务器做备份服务器,但要符合“异地”的条件

③ 备份到云对像存储上,华为云、阿里云之类的都可以,最好不要同城,否则可能会被认为不符合“异地”

10、备份恢复测试

没错,还要求有数据恢复成功的测试。

这个可以新建一个测试库,将导出的sql文件导入到测试库即可。

11、安全传输、加密传输、数据保护

这个是说数据库要开启ssl安全连接,mysql 5.7及以上版本默认支持。

检查的方式:看`/var/lib/mysql/`目录下有没有`server-cert.pem`等pem文件,有的话一般是支持的;没有的话,拷一份过来也不一定有用;不过可以额外配置。

show variables like'%ssl%';





相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
28天前
|
SQL 关系型数据库 MySQL
mysql主从复制概述和配置
【10月更文挑战第22天】MySQL 主从复制是一种将主服务器的数据复制到一个或多个从服务器的技术,实现读写分离,提高系统性能和可用性。主服务器记录变更日志,从服务器通过 I/O 和 SQL 线程读取并应用这些变更。适用于读写分离、数据备份和恢复、数据分析等场景。配置步骤包括修改配置文件、创建复制用户、配置从服务器连接主服务器并启动复制进程。
|
3月前
|
存储 SQL 关系型数据库
MySQL体系结构与配置
MySQL体系结构与配置
52 0
|
17天前
|
存储 SQL 关系型数据库
2024Mysql And Redis基础与进阶操作系列(1)作者——LJS[含MySQL的下载、安装、配置详解步骤及报错对应解决方法]
Mysql And Redis基础与进阶操作系列(1)之[MySQL的下载、安装、配置详解步骤及报错对应解决方法]
|
17天前
|
关系型数据库 MySQL Linux
在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,包括准备工作、下载源码、编译安装、配置 MySQL 服务、登录设置等。
本文介绍了在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,包括准备工作、下载源码、编译安装、配置 MySQL 服务、登录设置等。同时,文章还对比了编译源码安装与使用 RPM 包安装的优缺点,帮助读者根据需求选择最合适的方法。通过具体案例,展示了编译源码安装的灵活性和定制性。
59 2
|
22天前
|
SQL 关系型数据库 MySQL
Mysql中搭建主从复制原理和配置
主从复制在数据库管理中广泛应用,主要优点包括提高性能、实现高可用性、数据备份及灾难恢复。通过读写分离、从服务器接管、实时备份和地理分布等机制,有效增强系统的稳定性和数据安全性。主从复制涉及I/O线程和SQL线程,前者负责日志传输,后者负责日志应用,确保数据同步。配置过程中需开启二进制日志、设置唯一服务器ID,并创建复制用户,通过CHANGE MASTER TO命令配置从服务器连接主服务器,实现数据同步。实验部分展示了如何在两台CentOS 7服务器上配置MySQL 5.7主从复制,包括关闭防火墙、配置静态IP、设置域名解析、配置主从服务器、启动复制及验证同步效果。
Mysql中搭建主从复制原理和配置
|
2月前
|
关系型数据库 MySQL 数据安全/隐私保护
docker应用部署---MySQL的部署配置
这篇文章介绍了如何使用Docker部署MySQL数据库,包括搜索和拉取MySQL镜像、创建容器并设置端口映射和目录映射、进入容器操作MySQL,以及如何使用外部机器连接容器中的MySQL。
docker应用部署---MySQL的部署配置
|
1月前
|
关系型数据库 MySQL Java
Django学习二:配置mysql,创建model实例,自动创建数据库表,对mysql数据库表已经创建好的进行直接操作和实验。
这篇文章是关于如何使用Django框架配置MySQL数据库,创建模型实例,并自动或手动创建数据库表,以及对这些表进行操作的详细教程。
61 0
Django学习二:配置mysql,创建model实例,自动创建数据库表,对mysql数据库表已经创建好的进行直接操作和实验。
|
2月前
|
关系型数据库 MySQL Go
go抽取mysql配置到yaml配置文件
go抽取mysql配置到yaml配置文件
|
3月前
|
弹性计算 关系型数据库 MySQL
centos7 mysql安装及配置
本文详细介绍了在阿里云服务器ECS上通过yum源安装MySQL 8.0.12的过程,包括更新yum源、下载并安装MySQL源、解决安装过程中可能遇到的问题等步骤。此外,还介绍了如何启动MySQL服务、设置开机自启、配置登录密码、添加远程登录用户以及处理远程连接异常等问题。适合初学者参考,帮助快速搭建MySQL环境。
430 8
centos7 mysql安装及配置
|
2月前
|
关系型数据库 MySQL Unix
MySQL配置不区分大小写的方法
结论 通过适当配置 lower_case_table_names参数以及在数据定义和查询中选择合适的校对规则,可以灵活地控制MySQL中的大小写敏感性,以适应不同的应用场景和需求。这样的设置既可以增加数据库的兼容性,又可以在必要时利用大小写敏感性进行精确的数据处理。需要注意的是,修改 lower_case_table_names参数后,最好在数据库初始化时进行,以避免现有表名的大小写问题。
278 3