MySql数据库安全配置基线

Mysql数据库系统安全配置基线第1页共15页Mysql数据库系统安全配置基线Mysql数据库系统安全配置基线第2页共15页版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。Mysql数据库系统安全配置基线第3页共15页目录第1章概述.........................................................................................................................................41.1目的.........................................................................................................................................41.2适用范围.................................................................................................................................41.3适用版本.................................................................................................................................41.4实施.........................................................................................................................................41.5例外条款.................................................................................................................................4第2章帐号.........................................................................................................................................52.1帐号安全.................................................................................................................................52.1.1禁止Mysql以管理员帐号权限运行...............................................................52.1.2避免不同用户间共享帐号*.............................................................................52.1.3删除无关帐号*.................................................................................................6第3章口令.........................................................................................................................................83.1口令安全.................................................................................................................................83.1.1不使用默认密码和弱密码...............................................................................83.2授权.........................................................................................................................................83.2.1分配用户最小权限*.........................................................................................8第4章日志.......................................................................................................................................104.1日志审计...............................................................................................................................104.1.1配置日志功能*...............................................................................................10第5章其他.......................................................................................................................................125.1其他配置...............................................................................................................................125.1.1安装了最新的安全补丁*...............................................................................125.1.2如果不需要，应禁止远程访问*...................................................................125.1.3可信IP地址访问控制*.................................................................................135.1.4连接数设置.....................................................................................................14第6章评审与修订...........................................................................................................................15Mysql数据库系统安全配置基线第4页共15页第1章概述1.1目的本文档旨在指导数据库管理人员进行Mysql数据库系统的安全配置。1.2适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。1.3适用版本Mysql数据库系统。1.4实施1.5例外条款Mysql数据库系统安全配置基线第5页共15页第2章帐号2.1帐号安全2.1.1禁止Mysql以管理员帐号权限运行安全基线项目名称数据库管理系统Mysql远程登录安全基线要求项安全基线编号SBL-Mysql-02-01-01安全基线项说明以普通帐户安全运行mysqld，禁止mysql以管理员帐号权限运行。检测操作步骤1、参考配置操作Unix下可以通过在/etc/my.cnf中设置：[mysql.server]user=mysql2、补充操作说明基线符合性判定依据1、判定条件各种操作系统下以管理员权限运行。Unix下禁止以root帐号运行mysqld;2、检测操作检查进程属主和运行参数是否包含--user=mysql类似语句：#ps–ef|grepmysqld#grep-iuser/etc/my.cnf备注2.1.2避免不同用户间共享帐号*安全基线项目名称数据库管理系统Mysql用户属性控制策略安全基线要求项安全基线编号SBL-Mysql-02-01-02安全基线项说明应按照用户分配帐号，避免不同用户间共享帐号Mysql数据库系统安全配置基线第6页共15页检测操作步骤1．参考配置操作//创建用户mysqlmysqlinsertintomysql.user(Host,User,Password,ssl_cipher,x509_issuer,x509_subject)values(localhost,pppadmin,password(passwd),'','','');这样就创建了一个名为：phplamp密码为：1234的用户。然后登录一下。mysqlexit;@mysql-uphplamp-p@输入密码mysql登录成功2．补充操作说明基线符合性判定依据1.判定条件不用名称的用户可以连接数据库2.检测操作使用不同用户连接数据库备注手工检查2.1.3删除无关帐号*安全基线项目名称数据库管理系统Mysql帐号管理安全基线要求项安全基线编号SBL-Mysql-02-01-03安全基线项说明应删除或锁定与数据库运行、维护等工作无关的帐号检测操作步骤1．参考配置操作DROPUSER语句用于删除一个或多个MySQL账户。要使用DROPUSER，必须拥有mysql数据库的全局CREATEUSER权限或DELETE权限。账户名称的用户和主机部分与用户表记录的User和Host列值相对应。使用DROPUSER，您可以取消一个账户和其权限，操作如下：DROPUSERuser;该语句可以删除来自所有授权表的帐户权限记录。2．补充操作说明要点：DROPUSER不能自动关闭任何打开的用户对话。而且，如果用户有打开的对话，此时取消用户，则命令不会生效，直到用户对话被关闭后才生效。一旦对话被关闭，用户也被取消，此用户再次试图登录时将会失败。基线符合性判定依据检测操作：mysql查看所有用户的语句Mysql数据库系统安全配置基线第7页共15页输入指令selectuser();依次检查所列出的账户是否为必要账户，删除无用户或过期账户。注：无关的帐号主要指测试帐户、共享帐号、长期不用帐号（半年以上不用）等备注手工检查Mysql数据库系统安全配置基线第8页共15页第3章口令3.1口令安全3.1.1不使用默认密码和弱密码安全基线项目名称数据库管理系统Mysql账户口令安全基线要求项安全基线编号SBL-Mysql-03-01-01安全基线项说明检查帐户默认密码和弱密码,口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至