實(shí)驗(yàn)?zāi)康?/span>

MariaDB的安全配置過(guò)程與配置方法，掌握數(shù)據(jù)庫(kù)安全配置對(duì)安全運(yùn)維至關(guān)重要。

實(shí)驗(yàn)環(huán)境

一臺(tái)Centos7 已安裝MariaDB數(shù)據(jù)庫(kù)

MariaDB安裝命令如下

yum -y install mariadb

實(shí)驗(yàn)原理

通過(guò)配置文件與數(shù)據(jù)庫(kù)的配置，實(shí)現(xiàn)MariaDB安全配置

實(shí)驗(yàn)步驟

一、操作系統(tǒng)級(jí)權(quán)限檢查

1、檢查數(shù)據(jù)庫(kù)的運(yùn)行權(quán)限（每排第一個(gè)），不建議以root運(yùn)行數(shù)據(jù)庫(kù)，防止越權(quán)攻擊

ps -ef | egrep "^mysql.*$"

如圖顯示mysqld的運(yùn)行用戶為mysql

2、禁用mariadb的歷史記錄功能

查找緩存文件

find $HOME -name ".mysql_history"

將緩存文件指向空文件

rm -f $HOME/.mysql_history ln -s /dev/null $HOME/.mysql_history

3、查看并配置數(shù)據(jù)庫(kù)存放路徑權(quán)限

登錄數(shù)據(jù)庫(kù)

mysql -u root -p

查看數(shù)據(jù)庫(kù)存放路徑

show variables where variable_name = 'datadir';

退出數(shù)據(jù)庫(kù)

quit

查看數(shù)據(jù)庫(kù)存放路徑權(quán)限

ls -l /var/lib | grep mysql

如圖權(quán)限為755，使用以下命令改為700

chmod 700 /var/lib/mysql

二、Mariadb數(shù)據(jù)庫(kù)的通用安全配置

1、刪除默認(rèn)的test數(shù)據(jù)庫(kù)

進(jìn)入數(shù)據(jù)庫(kù)

mysql -u root

show DATABASES LIKE 'test';

刪除數(shù)據(jù)庫(kù)

DROP DATABASE 'test';

2、禁用local_infile參數(shù)

查看local_infile參數(shù)是否開(kāi)啟

show variables where variable_name = 'local_infile';

如上圖顯示local_infile 是開(kāi)啟狀態(tài)，需要修改mariadb配置文件。修改方法，見(jiàn)后文。

3、修改secure_file_priv參數(shù)

查看secure_file_priv參數(shù)

SHOW GLOBAL VARIABLES WHERE Variable_name = 'secure_file_priv' ;

如圖顯示路徑為空，表示所有路徑，建議設(shè)置為固定值，需要修改mariadb配置文件。修改方法，見(jiàn)后文。

4、確定只有root用戶有內(nèi)置數(shù)據(jù)庫(kù)mysql的權(quán)限

查看內(nèi)置數(shù)據(jù)庫(kù)的權(quán)限

SELECT user, host FROM mysql.user WHERE (Select_priv = 'Y') OR (Insert_priv = 'Y') OR (Update_priv = 'Y') OR (Delete_priv = 'Y') OR (Create_priv = 'Y') OR (Drop_priv = 'Y');

5、查看file_priv權(quán)限，確定只有root用戶有

select user, host from mysql.user where file_priv = 'Y';

撤銷(xiāo)用戶權(quán)限

如果在上例檢查中，發(fā)現(xiàn)非root用戶，可以使用下面命令撤銷(xiāo)

revoke file on *.* from 'user';

同時(shí)這里檢查權(quán)限還應(yīng)有process_priv、super_priv這些字段。

6、配置允許用戶登錄的主機(jī)

查看當(dāng)前用戶可以登錄的主機(jī)

select user,host from mysql.user;

更新用戶允許登錄的主機(jī)，如

update mysql.user set host="192.168.1.200" where host="localhost" and user="root";

7、查看密碼安全策略

show variables like 'validate_password%';

三、驗(yàn)證安全配置

1、生成兩個(gè)任意文件

echo 1111 > /tmp/111.txt

echo 2222 > /var/lib/mysql-files/222.txt

2、進(jìn)入數(shù)據(jù)庫(kù)

mysql -u root

3、導(dǎo)入文件，前面我們查看參數(shù)時(shí)，發(fā)現(xiàn)local_infile參數(shù)為on

執(zhí)行以下操作

創(chuàng)建數(shù)據(jù)庫(kù)

create database temp;

use temp;

創(chuàng)建表，并導(dǎo)入/tmp/111.txt

create table table_test(cmd text);

insert into table_test(cmd) values (load_file('/tmp/111.txt'));

select cmd from table_test;

再次導(dǎo)入/var/lib/mysql/222.txt

insert into table_test(cmd) values (load_file('/var/lib/mysql/222.txt'));

select cmd from table_test;

發(fā)現(xiàn)導(dǎo)入成功

3、配置禁止導(dǎo)入，與導(dǎo)入路徑

退出數(shù)據(jù)庫(kù)

quit

編輯數(shù)據(jù)庫(kù)配置文件

vim /etc/my.cnf

加入下面行，指定允許導(dǎo)入的路徑，如/tmp

secure_file_priv=/tmp

保存并退出文件

重啟mariadb數(shù)據(jù)庫(kù)

systemctl restart mariadb

進(jìn)入數(shù)據(jù)庫(kù)

mysql -u root -h 127.0.0.1

嘗試導(dǎo)入文件

use temp;

insert into table_test(cmd) values (load_file('/var/lib/mysql/222.txt'));

select * from table_test;

雖然提示執(zhí)行成功，但查看數(shù)據(jù)庫(kù)時(shí)，發(fā)現(xiàn)值為NULL

實(shí)驗(yàn)總結(jié)

通過(guò)mariadb的配置文件與參數(shù)查看，理解mariadb的一些安全配置。

總結(jié)

以上是生活随笔為你收集整理的基线管理之MariaDB安全配置的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。