MySQL基线与合规检查表.pdf

od@y

542

3页

22次

2023-10-23

5墨值下载

MySQL标准检查表

分类测评项预期结果评估操作示例检查情况结果整改建议

身份鉴

别

默认账号要求

不存在默认数据库和默认帐号；

不存在匿名账户；

应用系统应使用新建用户，不得使用

系统默认账户。

mysql> show databases;

mysql> select * from

user;

只保留单个管理员root和应

用系统专用账户

在不影响系统正常运行的情况

下删除默认账号，若默认账号

下有系统运行，则修改默认账

号名。

数据库系统管理

用户账号名和密

码要求项

修改root用户默认口令，删除空口

令；

改变默认mysql管理员帐号，host为

空

mysql> select * from

user;

查看列表中root用户口令不

为空，host为空

修改root用户的默认密码，不

能有空口令，MySQL默认的账

户为root，需要新建一个账户

。MySQL账户的Host=%应该为

空，这样来禁止远程连接。

管理员口令策略

至少8位，数字、字母（大小写）、

特殊字符组成的不规律密码

mysql>select password

from user;

查看密码

密码修改为8位以上，包含数

字，字母（大小写），特殊字

符三种形式

账号权限策略

除管理员账户之外的其他账户不得拥

有系统数据库的任何权限，不得拥有

File，Grant，Reload，Shutdown，

Process等权限的任意一种

mysql>show grants for

root@localhost；查看root

用户的权限。

Show grants for+用户名@地

址，可以查看指定账户的权

限

修改除管理员外其他用户的权

限，其他用户不能有File，

Grant，Reload，Shutdown，

Process等权限，不能出现其

他高权限用户

访问控

制

MySQL运行在单独

的组上

不能在root账户运行MySQL服务器，

使用普通非特权用户运行

mysql>id mysql

MySQL不能运行在root用户上，

需新建一个专用账户给MySQL

文件权限控制

目录下的文件属主和属组只能是

mysql账号，不能给予其他账号任何

权限

ls –la

/usr/local/mysql；查看数

据目录所属的账号

ls –la

/usr/local/mysql/var

查看日志目录所属的账号

访问控

制

命令历史记录保

护

mysql.history文件中为空，没有命

令历史记录

若没有修改存储历史命令的

文件名，则是

mysql.history，我们执行

find / -name

mysql.history站到文件夹所

在的位置；

cat 打开查看该文件内容

若修改了存储的文件名，则

需要询问管理员确认存储位

置。

将.bash_history，

.mysql_history文件置空。

ln -s /dev/null

.bash_history；

ln -s /dev/null

.mysql_history；

将历史命令缓存直接引向垃圾

箱

安全审

计

启用日志记录

启用了日志记录，记录日志信息

log-error,log,log-slow-queries这

三种日志的状态是ON状态

MySQL>show variables like

'log_%';

进入my.cnf中，在[mysqld]下

面加log-

error=/usr/local/mysql/log/

error.log

审计记录应包括

事件的日期、时

间、类型、主体

标识、客体标识

和结果等

审计记录包括事件的日期、时间、类

型、主体标识、客体标识和结果等内

容

cat

/etc/audit/auditd.conf

cat

/etc/audit/audit.rules

首先需要开启logbin日志（记

录数据库修改语句和生效时

间），再与init-connect相结

合，两者结合记录完整的信息

操作系统应遵循

最小安装的原

则，仅安装需要

的组件和应用程

序，并通过设置

升级服务器等方

式保持系统补丁

及时得到更新

1)系统安装的组件和应用程序遵循了

最小安装的原则；

2)不必要的服务没有启动；

service --status-all |

grep running

对不必要的服务进行关闭，仅

保留系统所需要的最小服务

其他内

容

限制单个用户允

许的连接数量

对单个用户的连接数的最大值做出限

制，my.cnf中的

max_user_connections系统变量为非

零值

MySQL>show global

variables like

'%connect%'

根据系统的实际承受能力，限

制单个用户连接数，在

/etc/my.cnf中进行限制

服务监听端口

修改mysql默认监听端口3306为其他

端口

show global variables

like 'port';看一下监听端

口是不是3306

vim my.cnf文件，修改其中的

port参数为非3306且未被占用

的端口

MySQL标准检查表

分类测评项预期结果评估操作示例检查情况结果整改建议

身份鉴

别

默认账号要求

不存在默认数据库和默认帐号；

不存在匿名账户；

应用系统应使用新建用户，不得使用

系统默认账户。

mysql> show databases;

mysql> select * from

user;

只保留单个管理员root和应

用系统专用账户

在不影响系统正常运行的情况

下删除默认账号，若默认账号

下有系统运行，则修改默认账

号名。

数据库系统管理

用户账号名和密

码要求项

修改root用户默认口令，删除空口

令；

改变默认mysql管理员帐号，host为

空

mysql> select * from

user;

查看列表中root用户口令不

为空，host为空

修改root用户的默认密码，不

能有空口令，MySQL默认的账

户为root，需要新建一个账户

。MySQL账户的Host=%应该为

空，这样来禁止远程连接。

管理员口令策略

至少8位，数字、字母（大小写）、

特殊字符组成的不规律密码

mysql>select password

from user;

查看密码

密码修改为8位以上，包含数

字，字母（大小写），特殊字

符三种形式

账号权限策略

除管理员账户之外的其他账户不得拥

有系统数据库的任何权限，不得拥有

File，Grant，Reload，Shutdown，

Process等权限的任意一种

mysql>show grants for

root@localhost；查看root

用户的权限。

Show grants for+用户名@地

址，可以查看指定账户的权

限

修改除管理员外其他用户的权

限，其他用户不能有File，

Grant，Reload，Shutdown，

Process等权限，不能出现其

他高权限用户

访问控

制

MySQL运行在单独

的组上

不能在root账户运行MySQL服务器，

使用普通非特权用户运行

mysql>id mysql

MySQL不能运行在root用户上，

需新建一个专用账户给MySQL

文件权限控制

目录下的文件属主和属组只能是

mysql账号，不能给予其他账号任何

权限

ls –la

/usr/local/mysql；查看数

据目录所属的账号

ls –la

/usr/local/mysql/var

查看日志目录所属的账号

访问控

制

命令历史记录保

护

mysql.history文件中为空，没有命

令历史记录

若没有修改存储历史命令的

文件名，则是

mysql.history，我们执行

find / -name

mysql.history站到文件夹所

在的位置；

cat 打开查看该文件内容

若修改了存储的文件名，则

需要询问管理员确认存储位

置。

将.bash_history，

.mysql_history文件置空。

ln -s /dev/null

.bash_history；

ln -s /dev/null

.mysql_history；

将历史命令缓存直接引向垃圾

箱

安全审

计

启用日志记录

启用了日志记录，记录日志信息

log-error,log,log-slow-queries这

三种日志的状态是ON状态

MySQL>show variables like

'log_%';

进入my.cnf中，在[mysqld]下

面加log-

error=/usr/local/mysql/log/

error.log

审计记录应包括

事件的日期、时

间、类型、主体

标识、客体标识

和结果等

审计记录包括事件的日期、时间、类

型、主体标识、客体标识和结果等内

容

cat

/etc/audit/auditd.conf

cat

/etc/audit/audit.rules

首先需要开启logbin日志（记

录数据库修改语句和生效时

间），再与init-connect相结

合，两者结合记录完整的信息

操作系统应遵循

最小安装的原

则，仅安装需要

的组件和应用程

序，并通过设置

升级服务器等方

式保持系统补丁

及时得到更新

1)系统安装的组件和应用程序遵循了

最小安装的原则；

2)不必要的服务没有启动；

service --status-all |

grep running

对不必要的服务进行关闭，仅

保留系统所需要的最小服务

其他内

容

限制单个用户允

许的连接数量

对单个用户的连接数的最大值做出限

制，my.cnf中的

max_user_connections系统变量为非

零值

MySQL>show global

variables like

'%connect%'

根据系统的实际承受能力，限

制单个用户连接数，在

/etc/my.cnf中进行限制

服务监听端口

修改mysql默认监听端口3306为其他

端口

show global variables

like 'port';看一下监听端

口是不是3306

vim my.cnf文件，修改其中的

port参数为非3306且未被占用

的端口

of 3

5墨值下载

基线检查 mysql数据库数据合规等保三级

关注

评论