信息安全MySQL標(biāo)準(zhǔn)檢查表全套

信息安全MySQL標(biāo)準(zhǔn)檢查表MySQL標(biāo)準(zhǔn)檢查表分類測(cè)評(píng)項(xiàng)預(yù)期結(jié)果評(píng)估操作示例整改建議身份鑒別默認(rèn)賬號(hào)要求不存在默認(rèn)數(shù)據(jù)庫和默認(rèn)帳號(hào)；

不存在匿名賬戶；

應(yīng)用系統(tǒng)應(yīng)使用新建用戶，不得使用系統(tǒng)默認(rèn)賬戶。mysql>showdatabases;

mysql>select*fromuser;

只保留單個(gè)管理員root和應(yīng)用系統(tǒng)專用賬戶在不影響系統(tǒng)正常運(yùn)行的情況下刪除默認(rèn)賬號(hào)，若默認(rèn)賬號(hào)下有系統(tǒng)運(yùn)行，則修改默認(rèn)賬號(hào)名。數(shù)據(jù)庫系統(tǒng)管理用戶賬號(hào)名和密碼要求項(xiàng)修改root用戶默認(rèn)口令，刪除空口令；

改變默認(rèn)mysql管理員帳號(hào)，host為空mysql>select*fromuser;

查看列表中root用戶口令不為空，host為空修改root用戶的默認(rèn)密碼，不能有空口令，MySQL默認(rèn)的賬戶為root，需要新建一個(gè)賬戶。MySQL賬戶的Host=%應(yīng)該為空，這樣來禁止遠(yuǎn)程連接。管理員口令策略至少8位，數(shù)字、字母（大小寫）、特殊字符組成的不規(guī)律密碼mysql>selectpasswordfromuser;

查看密碼密碼修改為8位以上，包含數(shù)字，字母（大小寫），特殊字符三種形式賬號(hào)權(quán)限策略除管理員賬戶之外的其他賬戶不得擁有系統(tǒng)數(shù)據(jù)庫的任何權(quán)限，不得擁有File，Grant，Reload，Shutdown，Process等權(quán)限的任意一種mysql>showgrantsforroot@localhost；查看root用戶的權(quán)限。

Showgrantsfor+用戶名@地址，可以查看指定賬戶的權(quán)限修改除管理員外其他用戶的權(quán)限，其他用戶不能有File，Grant，Reload，Shutdown，Process等權(quán)限，不能出現(xiàn)其他高權(quán)限用戶訪問控制MySQL運(yùn)行在單獨(dú)的組上不能在root賬戶運(yùn)行MySQL服務(wù)器，使用普通非特權(quán)用戶運(yùn)行mysql>idmysqlMySQL不能運(yùn)行在root用戶上，需新建一個(gè)專用賬戶給MySQL數(shù)據(jù)庫文件權(quán)限控制MySQL的數(shù)據(jù)目錄、日志目錄，以及目錄下的文件屬主和屬組只能是mysql賬號(hào)，不能給予其他賬號(hào)任何權(quán)限ls–la/usr/local/mysql；查看數(shù)據(jù)目錄所屬的賬號(hào)

ls–la/usr/local/mysql/var

查看日志目錄所屬的賬號(hào)命令歷史記錄保護(hù)mysql.history文件中為空，沒有命令歷史記錄若沒有修改存儲(chǔ)歷史命令的文件名，則是mysql.history，我們執(zhí)行find/-namemysql.history站到文件夾所在的位置；

cat打開查看該文件內(nèi)容

若修改了存儲(chǔ)的文件名，則需要詢問管理員確認(rèn)存儲(chǔ)位置。將.bash_history，.mysql_history文件置空。

ln-s/dev/null.bash_history；

ln-s/dev/null.mysql_history；

將歷史命令緩存直接引向垃圾箱安全審計(jì)啟用日志記錄啟用了日志記錄，記錄日志信息

log-error,log,log-slow-queries這三種日志的狀態(tài)是ON狀態(tài)MySQL>showvariableslike'log_%';進(jìn)入f中，在[mysqld]下面加log-error=

/usr/local/mysql/log/error.log

log=

/usr/local/mysql/log/mysql.log

long_query_time=2

log-slow-queries=

/usr/local/mysql/log/slowquery.log

log-queries-not-using-indexes審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等審計(jì)記錄包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等內(nèi)容cat/etc/audit/auditd.conf

cat/etc/audit/audit.rules首先需要開啟logbin日志（記錄數(shù)據(jù)庫修改語句和生效時(shí)間），再與init-connect相結(jié)合，兩者結(jié)合記錄完整的信息操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新1)系統(tǒng)安裝的組件和應(yīng)用程序遵循了最小安裝的原則；

2)不必要的服務(wù)沒有啟動(dòng)；service--status-all|greprunning對(duì)不必要的服務(wù)進(jìn)行關(guān)閉，僅保留系統(tǒng)所需要的最小服務(wù)其他內(nèi)容限制單個(gè)用戶允許的連接數(shù)量對(duì)單個(gè)用戶的連接數(shù)的最大值做出限制，f中的max_user_connections系統(tǒng)變量為非零值MySQL>showglobalvariableslike'%connect%'根據(jù)系統(tǒng)的實(shí)際承受能力，限制單個(gè)用戶連接數(shù)，在/etc/f中進(jìn)行限制服務(wù)監(jiān)聽端口修改mysql默認(rèn)監(jiān)聽端口3306為其他端口showglobalvariableslike'port';看一下監(jiān)聽端口是不是3306vimf文件，修改其中的port參數(shù)為非3306且未被占用的端口登錄終端超時(shí)鎖定設(shè)置了超時(shí)時(shí)間，在時(shí)間內(nèi)沒有操作，再次操作時(shí)就會(huì)提示超時(shí)MYSQL>showVARIABLE