阿里云标准-MySQL安全基线检查文档

### 阿里云标准-MySQL安全基线检查知识点详解 #### 一、避免使用通配符主机名进行身份鉴别 **重要性**: 使用通配符（如`%`）来标识用户允许连接的主机范围可能导致数据库服务对外开放，增加了安全风险。 **检查步骤**: 1. 登录到MySQL数据库。 2. 执行`use mysql;`切换到mysql系统数据库。 3. 运行`select user,Host from user where Host='%';`来查找那些配置了通配符的用户。 **加固建议**: 1. 对于查找到的通配符用户，可以通过以下方式处理： - 删除用户：`DROP USER 'user_name'@'%';` - 修改用户允许连接的host字段：`update user set host = <new_host> where host = '%';` 2. 执行`OPTIMIZE TABLE user;`优化user表。 3. 刷新权限以使更改生效：`flush privileges;` #### 二、修改默认端口服务配置 **重要性**: 默认端口3306容易成为攻击目标。更改端口可以有效降低被初级扫描的风险。 **检查步骤**: 1. 查找MySQL配置文件（通常位于`/etc/mysql/my.cnf`或`/etc/my.cnf`）。 2. 在`[mysqld]`段落中寻找`port`参数。 **加固建议**: 1. 将端口号更改为一个不太常见的数字，比如3506。 2. 保存并重启MySQL服务。 #### 三、使用专用的最低特权账户访问控制 **重要性**: 使用非特权账户启动MySQL服务可以减小由于MySQL自身漏洞导致的安全影响。 **检查步骤**: 1. 确认MySQL服务当前使用的启动用户。 **加固建议**: 1. 创建一个非root和非sudo权限的用户。 2. 使用该用户启动MySQL服务。 #### 四、禁止使用`--skip-grant-tables`选项启动MySQL服务 **重要性**: 使用此选项会导致所有客户端对所有数据库具有不受限制的访问权限，极大地增加了安全隐患。 **检查步骤**: 1. 检查MySQL配置文件是否存在`--skip-grant-tables`选项。 **加固建议**: 1. 编辑MySQL配置文件，删除`--skip-grant-tables`选项。 2. 重启MySQL服务。 #### 五、禁用`local-infile`选项 **重要性**: 禁用`local_infile`选项可以降低通过SQL注入漏洞读取敏感文件的风险。 **检查步骤**: 1. 查找MySQL配置文件中的`local-infile`参数。 **加固建议**: 1. 在MySQL配置文件的`[mysqld]`段落中将`local-infile`设为0。 2. 重启MySQL服务。 #### 六、删除`test`数据库 **重要性**: `test`数据库可供所有用户访问，可能存在滥用风险。 **检查步骤**: 1. 登录MySQL数据库。 **加固建议**: 1. 执行`DROP DATABASE test;`删除`test`数据库。 2. 执行`flush privileges;`刷新权限。 #### 七、确保配置了`log-error`选项 **重要性**: 启用错误日志有助于检测针对MySQL和其他关键消息的恶意尝试。 **检查步骤**: 1. 检查MySQL配置文件是否有`log-error`配置。 **加固建议**: 1. 在MySQL配置文件的`[mysqld_safe]`段落中添加`log-error=<log_path>`。 2. 重启MySQL服务。 #### 八、确保`log-raw`选项没有配置为ON **重要性**: 当`log-raw`记录启用时，有权访问日志文件的人可能会看到纯文本密码，从而泄露敏感信息。 **检查步骤**: 1. 查找MySQL配置文件中的`log-raw`参数。 **加固建议**: 1. 删除`log-raw`配置项。 2. 重启MySQL服务。 #### 九、删除匿名登录 **重要性**: 允许匿名登录可能导致未经授权的访问。 **检查步骤**: 1. 登录MySQL数据库。 **加固建议**: 1. 执行`delete from user where user='';`删除匿名账户。 2. 执行`flush privileges;`刷新权限。 #### 十、禁用`symbolic-links`选项 **重要性**: 禁用符号链接以防止各种安全风险。 **检查步骤**: 1. 检查MySQL配置文件中的`symbolic-links`参数。 **加固建议**: 1. 在MySQL配置文件的`[mysqld]`段落中设置`symbolic-links=0`。 2. 对于5.6及以上版本，应配置为`skip_symbolic_links=yes`。 3. 重启MySQL服务。 #### 十一、确保`MYSQL_PWD`环境变量未设置 **重要性**: 设置`MYSQL_PWD`环境变量可能导致MySQL凭据明文存储，增加泄露风险。 **检查步骤**: 1. 检查系统环境变量中是否设置了`MYSQL_PWD`。 **加固建议**: 1. 删除`MYSQL_PWD`环境变量配置。 #### 十二、禁止使用弱口令 **重要性**: 弱口令易被猜测破解，导致系统被入侵。 **检查步骤**: 1. 登录MySQL数据库。 2. 查询数据库用户密码信息：`SELECT user, host, authentication_string FROM user;`（对于部分版本，查询命令可能略有不同）。 **加固建议**: 1. 更改所有用户的密码，确保密码强度足够高。 2. 定期更换密码，增加安全性。