基线管理之MariaDB安全配置

实验目的

MariaDB的安全配置过程与配置方法，掌握数据库安全配置对安全运维至关重要。

实验环境

一台Centos7 已安装MariaDB数据库

MariaDB安装命令如下

yum -y install mariadb

实验原理

通过配置文件与数据库的配置，实现MariaDB安全配置

实验步骤

一、操作系统级权限检查

1、检查数据库的运行权限（每排第一个），不建议以root运行数据库，防止越权攻击

ps -ef | egrep "^mysql.*$"

如图显示mysqld的运行用户为mysql

2、禁用mariadb的历史记录功能

查找缓存文件

find $HOME -name ".mysql_history"

将缓存文件指向空文件

rm -f $HOME/.mysql_history

ln -s /dev/null $HOME/.mysql_history

3、查看并配置数据库存放路径权限

登录数据库

mysql -u root -p

查看数据库存放路径

show variables where variable_name = 'datadir';

退出数据库

quit

查看数据库存放路径权限

ls -l /var/lib | grep mysql

如图权限为755，使用以下命令改为700

chmod 700 /var/lib/mysql

二、Mariadb数据库的通用安全配置

1、删除默认的test数据库

进入数据库

mysql -u root

show DATABASES LIKE 'test';

删除数据库

DROP DATABASE 'test';

2、禁用local_infile参数

查看local_infile参数是否开启

show variables where variable_name = 'local_infile';

如上图显示local_infile 是开启状态，需要修改mariadb配置文件。修改方法，见后文。

3、修改secure_file_priv参数

查看secure_file_priv参数

SHOW GLOBAL VARIABLES WHERE Variable_name = 'secure_file_priv' ;

如图显示路径为空，表示所有路径，建议设置为固定值，需要修改mariadb配置文件。修改方法，见后文。

4、确定只有root用户有内置数据库mysql的权限

查看内置数据库的权限

SELECT user, host FROM mysql.user WHERE (Select_priv = 'Y') OR (Insert_priv = 'Y') OR (Update_priv = 'Y') OR (Delete_priv = 'Y') OR (Create_priv = 'Y') OR (Drop_priv = 'Y');

5、查看file_priv权限，确定只有root用户有

select user, host from mysql.user where file_priv = 'Y';

撤销用户权限

如果在上例检查中，发现非root用户，可以使用下面命令撤销

revoke file on *.* from 'user';

同时这里检查权限还应有process_priv、super_priv这些字段。

6、配置允许用户登录的主机

查看当前用户可以登录的主机

select user,host from mysql.user;

更新用户允许登录的主机，如

update mysql.user set host="192.168.1.200" where host="localhost" and user="root";

7、查看密码安全策略

show variables like 'validate_password%';

三、验证安全配置

1、生成两个任意文件

echo 1111 > /tmp/111.txt

echo 2222 > /var/lib/mysql-files/222.txt

2、进入数据库

mysql -u root

3、导入文件，前面我们查看参数时，发现local_infile参数为on

执行以下操作

创建数据库

create database temp;

use temp;

创建表，并导入/tmp/111.txt

create table table_test(cmd text);

insert into table_test(cmd) values (load_file('/tmp/111.txt'));

select cmd from table_test;

再次导入/var/lib/mysql/222.txt

insert into table_test(cmd) values (load_file('/var/lib/mysql/222.txt'));

select cmd from table_test;

发现导入成功

3、配置禁止导入，与导入路径

退出数据库

quit

编辑数据库配置文件

vim /etc/my.cnf

加入下面行，指定允许导入的路径，如/tmp

secure_file_priv=/tmp

保存并退出文件

重启mariadb数据库

systemctl restart mariadb

进入数据库

mysql -u root -h 127.0.0.1

尝试导入文件

use temp;

insert into table_test(cmd) values (load_file('/var/lib/mysql/222.txt'));

select * from table_test;

虽然提示执行成功，但查看数据库时，发现值为NULL

实验总结

通过mariadb的配置文件与参数查看，理解mariadb的一些安全配置。

基线管理之MariaDB安全配置相关推荐

基线管理之Centos安全配置
实验目的通过配置Centos配置文件,加强Centos默认安全配置.同时也是理解linux一切皆文件的思想.尝试用shell脚本来处置Centos的安全配置. 实验环境一台Centos 7.2 无 ...
网络安全——基线管理与安全配置
一.基线管理概述 1.什么是安全基线简单来说,就是安全的最低标准线,满足安全需求的最低要求 2.基线的相关名词 3.基线核查的对象必须把所有资产统计出来,如果漏了的话,可能会成为一个薄弱点,被攻击 ...
使用OmniDB数据库管理工具，管理Oracle/MariaDB/PostgreSQL等关系型数据库
参考来源:https://hub.docker.com/r/taivokasper/omnidb/ 使用OmniDB数据库管理工具 --管理Oracle/MariaDB/PostgreSQL等关系型数 ...
消控中心人员配置_建筑能耗监测系统集中化运行管理模式和人员配置！
一般而言,建筑能耗监测系统采取集中化运行管理模式,尤其是对于一些大型建筑群的能耗监测,能耗监测系统的集成化程度更高.所以管理工作是重中之重,下面我们就能耗监测系统集中化运行管理模式和人员配置简单分析一 ...
Spring管理事务的若干配置形式
Spring管理事务的若干配置形式虽说利用Spring来实现配置式事务的基本原理都是AOP,但其配置方法也多种多样,以下从互联网摘抄了一些,希望起一个总结作用(有版权问题的话请留言作者,我将立即删除 ...
Roslyn 使用 Directory.Build.props 管理多个项目配置
在一些大项目需要很多独立的仓库来做,每个仓库之间都会有很多相同的配置,本文告诉大家如何通过 Directory.Build.props 管理多个项目配置在我的 MVVM 框架需要三个不同的库,一个是 ...
CentOS 6.9下的Setup工具（用于管理服务/防火墙/网络配置/验证服务）
说明:Setup工具套件好像是CentOS下特有的用于管理服务/防火墙/网络配置等,其实就是基于命令行模式界面的GUI工具.唯一特点就是方便. 安装: #安装Setup命令工具 yum -y inst ...
[原创] HBuildX，微信小程序模拟器报错（如若已在管理后台更新域名配置，请刷新项目配置后重新编译项目）
今天在学习使用uniapp,开发微信小程序时第三方登录时,HBuild编辑器报了一个错误,经过定位分析,确定代码是没有问题的,报错如下如若已在管理后台更新域名配置,请刷新项目配置后重新编译项目经过 ...
centos 系统软件包管理 yum 本地yum配置扩展源epel rpm 清除yum缓存 yum provides */vim 第十节课...
centos 系统软件包管理 yum 本地yum配置扩展源epel rpm 清除yum缓存 yum provides "*/vim" 第十节课你不能保证可逆化操 ...

基线管理之MariaDB安全配置

基线管理之MariaDB安全配置相关推荐

最新文章

热门文章