網絡安全 數據庫 MySQL 安全規范

　　在生產中，安全是相當重要，畢竟你的核心數據都在里面，MySQL因為其開源的流行性，大量個人，企業，政府單位采用，但是，很多部署的時候采用都是默認的配置，這就導致了安全的相對欠缺，你需要針對你的安全有所加強。

　　總的來說，數據庫一般劃分為生產庫，壓測庫，準生產庫，測試庫，開發庫。下面部分主要說的是生產庫，但其他庫也適用。

　　這是數據庫基礎的安全設置腳本

　　a 設置root密碼

　　b 移除匿名用戶

　　c 禁止遠程root登錄

　　d 移除test數據庫

　　以上是5.6版本，5.7有所加強但也僅此而以，看看你的環境是否存在上述問題，這個算是是最基本的安全吧。

　　常見創建用戶的時候你需要指定你的ip訪問地址范圍或者固定ip，一般化而言，只有特定唯一的幾個ip的才會訪問，或者說你可以采用代理訪問的方式，減少應用直接訪問你的數據庫，而且現在很多中間件也都有白名單機制，原則上是把非法請求防止在數據庫以外的地方。

　　規范數據庫管理軟件，實現管理軟件的標準、統一化，還有嚴禁杜絕開啟外網訪問，如果客戶端在遠程，就根本不應該直接訪問數據庫，而應該使用中間件堡壘機或其他替代方案。

　　為了防止連入數據庫的應用程序存在后門，造成數據庫安全隱患，檢查所有連接數據庫程序的安全性。通過使用堡壘機或者其他監控登錄數據庫，禁止對數據庫的直接操作。

　　對已經連接的IP網段進行規范化、統一化的管理，定期進行權限復核操作，對系統所屬IP、用戶進行權限梳理工作。

　　對員工進行安全培訓，增強員工的系統安全觀念，做到細心操作，安全操作。

　　確保訪問數據庫的主機為已知用戶或者主機，使用專門主機與數據庫進行連接。

　　對重要業務表的所有行為，全部審計，審計同時所有包括即使是DBA的DDL操作行為最后是報表系統，利用審計的相關日志，出具系統化的審計報告。

　　權限這塊無可厚非，在簡歷之初遵循最小權限原則，堅持最小權限原則，是數據庫安全的重要步驟。

　　很多時候我們不知道具體的最小權限是什么，你說一個賬號到底需要什么樣權限才合適，才不會影響業務？這個不是很好界定。我們需要知道在設置權限時的信息，要授予的權限級別,庫級別，表級別，列級別，或者其他超級權限，要授予的權限類型，增刪改查等

　　從mysql.user表來看Select_priv/Insert_priv/Update_priv/Delete_priv/Create_priv/Drop_privReload_priv/Shutdown_priv/Process_priv/File_priv/Grant_priv/References_privIndex_priv/Alter_priv/Show_db_priv/Super_priv/Create_tmp_table_priv/Lock_tables_privExecute_priv/Repl_slave_priv/Repl_client_priv/Create_view_priv/Show_view_priv/Create_routine_priv/Alter_routine_priv/Create_user_priv/Event_priv/Trigger_priv/Create_tablespace_priv

　　用戶名,IP地址，是否需要連接數控制，SSL，過期時間等，不要怕麻煩，可能前期設置的時候比較繁瑣，但是，一個好的基礎設置，才是安全的保障，做到需要什么給什么，而不是。

　　用戶賬戶劃分原則超級管理員賬號系統應用賬號（比如備份，監控，審計等）應用業務賬號業務人員賬號開發人員賬號測試人員賬號其他專用賬號

　　主要是防止泄漏，非必要人員不需要知道賬號的名稱，同時需要制定相應的命名規則，還有就是合理使用自己的賬號密碼，保護好你的賬號密碼，對于絕無必要的用戶，先禁用，后期刪除，要做到無匿名賬戶和無廢棄賬戶。

　　提高本地安全性，主要是防止mysql對本地文件的存取，會對系統構成威脅，還有Load DATA LOCAL INFILE，禁用該功能。

　　這個主要是防止誤刪除，非權限用戶禁止訪問目錄，還有就是數據文件禁止訪問，或者采用更改常用的目錄路徑，或者通過chroot，要保證該目錄不能讓未經授權的用戶訪問后把數據庫打包拷貝走了，所以要限制對該目錄的訪問。

　　密碼強度復雜性

　　盡量并且不要使用固定密碼，實行每個用戶單獨密碼，長度在16位以上 0-9a-zA-Z~!@#$%^&*()-+ 隨機組合。

　　密碼過期機制

　　根據公司的情況設定密碼過期時間，定期更改，同時不可使用重復密碼。

　　密碼保存機制

　　為了方便管理，可能會采用一個密碼表，要加強對于密碼表的維護更新，最重要的是保證不泄漏。

　　常規的方式是安裝補丁，不過這個往往比較麻煩，主要是版本升級，還有就是防護策略。

　　由于性能或者其他方面原因，很多生產環境并沒有使用，不過從5.7+開始，已經好很多了，有需要的加強安全防范其實可以嘗試下了。

　　https://dev.mysql.com/doc/refman/5.7/en/mysql-ssl-rsa-setup.html

　　一般化數據庫前面都會有主備的墻，不過從成本上考慮，很多企業都是單個或者裸奔的，有自己的硬件防火墻最好，沒有的話也可以使用系統自帶的防火墻，然后在加上其他白名單和中間件白名單過濾輔助措施，也能防止一部分問題。

　　默認端口是3306，這個最好修改下，為了方便記憶，你可以根據的ip地址來加密動態調整，不過如果生產網絡允許，也可以定期修改，最好不要影響研發進度。

　　刪除操作系統記錄的敏感數據，比如.mysql_history、.bash_history 等，及時清理，移除和禁用.mysql_history文件。

　　人是安全的主導，管理的對象要從兩個角度來看，從信息角度來說就是MySQL本身的安全，要防止數據的丟失和免遭破壞；從技術的角度來說就是整個系統的安全，要防止系統的癱瘓和免遭破壞。

　　最后說句題外話，監控和審計，安全主要是防患于未然，沒有誰希望一天到晚接到各種警報，最好根據公司的實際情況訂個詳細的規章制度，不要覺得這個麻煩，有些你可能并不覺得有用，但是呢？我希望是沒有但是。

　　（內容來源：talkwithtrend ）

　　「天億網絡安全」 知識星球 全面介紹網絡安全相關知識、安全建設方案、分享網絡安全行業法律法規及相關政策，一個學習網絡安全知識、技術、業務交流的全國性平臺。

　　知識星球定價：99元/年，（服務時間為一年，自加入日期順延一年）。

　　如何加入：掃描下方二維碼，掃碼付費即可加入。

　　加入群聊

　　為了【天億網絡安全】微信群管理，想進群的朋友先加我好友，我拉你們進群，微信二維碼如下：

　　—THE END—朋友都在看

　　??干貨分享|高級APT攻防學習資料

　　??詳解算分|等級保護測評過程中 人工算分公式及方法

　　??【思維導圖】11張，關于網絡安全的思維導圖

　　??《GB/T 36627-2018 網絡安全等級保護測試評估技術指南》將于2019年4月1日正式實施

　　??等保2.0通用要求VS等保1.0（三級）技術部分要求詳細對比

　　天億網絡安全

　　【歡迎收藏分享到朋友圈，讓更多朋友了解網絡安全，分享也是一種美德！】

　　↑↑↑長按圖片識別二維碼關註↑↑↑