数据库系统配置安全基线标准与操作指南 南京农业大学图书与信息中心2018年6月 图书与信息中心 目录 第1章概述

............................................................................................................................................

11.1

安全基线概念...........................................................................................................................

11.2

文档编制目的...........................................................................................................................

11.3

文档适用范围...........................................................................................................................

11.4

文档修订...................................................................................................................................

1 第2章帐号与口令

................................................................................................................................

12.1

口令安全...................................................................................................................................

12.1.1删除不必要的帐号

.......................................................................................................

12.1.2用户口令安全

...............................................................................................................

12.1.3帐号分配管理

...............................................................................................................

22.1.4

分配数据库用户所需的最小权限................................................................................

22.1.5网络访问限制

...............................................................................................................

2 第3章日志

............................................................................................................................................

33.1

日志审计...................................................................................................................................

33.1.1登录审计

.......................................................................................................................

33.1.2安全事件审计

...............................................................................................................

3 第4章其他安全配置

............................................................................................................................

44.1

安全策略...................................................................................................................................

44.1.1通讯协议安全策略

.......................................................................................................

44.2

更新补丁...................................................................................................................................

44.2.1补丁要求

.......................................................................................................................

44.3

存储保护...................................................................................................................................

54.3.1

停用不必要存储过程....................................................................................................

5 第1章概述 图书与信息中心 1.1安全基线概念安全基线是指满足最小安全保证的基本要求。
1.2文档编制目的本文档针对安装运行Mysql数据库系统的服务器主机所应当遵 循的基本安全设置要求提供了参考建议，供校园网用户在安装使用Mysql数据库系统提供数据存储服务过程中进行安全合规性自查、检查、加固提供标准依据与操作指导。
1.3文档适用范围 本文档适用于Mysql数据库系统的各类版本。
1.4文档修订 本文档的解释权和修改权属于南京农业大学图书与信息中心，欢迎校园网用户提供意见或建议，请发送至security@。

1 第2章帐号 图书与信息中心 2.1帐号安全 2.1.1禁止Mysql以管理员帐号权限运行 安全基线项目名称安全基线编号安全基线项说明 设置操作步骤 基线符合性判定依据备注 Mysql数据库帐号管理安全基线要求项 NJAUSBL-Mysql-V01-02-01-01 以普通帐户安全运行mysqld，禁止mysql以管理员帐号权限运行。
Unix下可以通过在/etc/f中设置：[mysql.server]user=mysql检查进程属主和运行参数是否包含--user=mysql类似语句：#ps–ef|grepmysqld#grep-iuser/etc/f 2.1.2避免不同用户间帐号共享 安全基线项目名称安全基线编号安全基线项说明设置操作步骤 Mysql数据库用户帐号分配安全基线要求项NJAUSBL-Mysql-V01-02-01-02应按照用户分配帐号，避免不同用户间共享帐号。
创建新用户，根据业务需要分配相应权限。
基线符合性判定依据使用不同用户连接数据库，查看权限情况。
备注 2.1.3删除无关帐号 安全基线项目名称安全基线编号安全基线项说明 Mysql数据库帐号清理安全基线要求项NJAUSBL-Mysql-V01-02-01-03应删除或锁定与数据库运行、维护等工作无关的帐号。

1 设置操作步骤 基线符合性判定依据备注 图书与信息中心
1、查看用户帐号mysql>SELECTDISTINCTCONCAT('User:''',user,'''@''',host,''';')ASqueryFROMmysql.user;
2、使用DROPUSER帐号名称删除无用帐号。
清除完成后再次查看用户帐号情况。
第3章口令 3.1口令安全 3.1.1不使用默认密码和弱密码 安全基线项目名称安全基线编号安全基线项说明 设置操作步骤 基线符合性判定依据备注 Mysql数据库帐户口令安全基线要求项 NJAUSBL-Mysql-V01-03-01-01 检查帐户默认密码和弱密码,口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
修改帐户弱密码，执行如下命令：mysql>updateusersetpassword=password('test!
p3')whereuser='root';mysql>flushprivileges;检查本地密码：(注意，管理帐号root默认是空密码)mysql>usemysql;mysql>selectHost,User,Password,Select_priv,Grant_privfromuser; 3.1.2授权 安全基线项目名称安全基线编号 Mysql数据库权限分配安全基线要求项NJAUSBL-Mysql-V01-03-01-02
2 安全基线项说明设置操作步骤 图书与信息中心 在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。
合理设置用户权限，撤销危险授权。

1、查看数据库授权情况：mysql>usemysql;mysql>select*fromuser;mysql>select*fromdb;mysql>select*fromhost;mysql>select*fromtables_priv;mysql>select*fromcolumns_priv;
2、回收不必要的或危险的授权，可以执行revoke命令：mysql>helprevokeName:'REVOKE'Description:Syntax:REVOKEpriv_type[(column_list)][,priv_type[(column_list)]]...ON[object_type]{*|*.*|db_name.*|db_name.tbl_name|tbl_name|db_name.routine_name}FROMuser[,user]... 基线符合性判定依据查看确保数据库没有不必要的或危险的授权。
备注
3 图书与信息中心 第4章日志配置 4.1日志审计 4.1.1配置日志功能 安全基线项目名称安全基线编号安全基线项说明 设置操作步骤 基线符合性判定依据备注 Mysql数据库日志管理安全基线要求项 NJAUSBL-Mysql-V01-04-01-01 数据库应配置日志功能。
mysql有以下几种日志：错误日志-log-err；查询日志-log（可选）；慢查询日志-log-slow-queries（可选）；更新日志-log-update二进制日志-log-bin。
在mysql的安装目录下，打开my.ini,清除语句前#号，开启相应日志功能，如：#Enteranamefortheerrorlogfile.Otherwiseadefaultnamewillbeused.log-error=#Enteranamefortheupdatelogfile.Otherwiseadefaultnamewillbeused.#log-update=showvariableslike'log_%';查看所有的log命令showvariableslike'log_bin';查看具体的log命令打开/etc/f文件，查看是否包含如下设置：[mysqld]log=filename
4 第5章其他安全配置 图书与信息中心 5.1其他配置 5.1.1补丁更新 安全基线项目名称安全基线编号安全基线项说明 设置操作步骤 基线符合性判定依据备注 Mysql数据库补丁管理安全基线要求项 NJAUSBL-Mysql-V01-05-01-01在保证业务及网络安全的前提下，经过兼容性测试后更新补丁。
在MySql官方网站下载数据库更新补丁，在测试环境安装调试，成功后在实际环境先备份数据，再更新补丁。
查看当前补丁版本：mysql>SELECTVERSION() 5.1.2根据需要控制远程访问 安全基线项目名称安全基线编号安全基线项说明 设置操作步骤 Mysql数据库远程管理安全基线要求项 NJAUSBL-Mysql-V01-05-01-02 数据库应与应用分离，远程管理应确保安全。
可设置远程固定IP访问管理，执行：mysql>grantallprivilegeson*.*to'root'@'ip'identifiedby'password'withgrantoption;mysql>FLUSHPRIVILEGES。
基线符合性判定依据用设置的密码通过指定ip主机访问数据库。
备注 校园网数据库远程管理建议通过堡垒机安全管理。
5.1.3连接数设置 安全基线项目名称安全基线编号安全基线项说明 Mysql数据库连接数安全基线要求项NJAUSBL-Mysql-V01-05-01-03根据机器性能和业务需求，设制最大最小连接数。

5 设置操作步骤 基线符合性判定依据备注 图书与信息中心 编辑MySQL配置文件：f或者是my.ini在[mysqld]配置段添加：max_connections=1000保存，重启MySQL服务。
用命令：SHOW[FULL]PROCESSLIST显示哪些线程正在运行mysqladmin-uroot-pvariables输入root数据库帐号的密码后可查看最大连接数。

6