MySQL安全标准遵循的规则如下:
描述企业审计日志插件正在按账号来源过滤事件
严重程度警告
建议当使用audit_log_include_accounts或audit_log_exclude_accounts选项时,插件可能不会记录所有事件,这可能是以后分析所需的。考虑是否需要按帐户过滤事件,如果不是,则删除audit_log_exclude_accounts或audit_log_include_accounts的配置值。
描述企业审计日志插件为“按事件状态过滤事件”
严重程度警告
建议当使用这些选项时,插件可能不会记录所有事件,这可能是以后分析所需要的。考虑是否需要按状态过滤事件,如果不是,则删除audit_log_connection_policy或audit_log_statement_policy的配置值。
描述MySQL企业防火墙一旦安装,启用或禁用,可以在两种全局模式之一。
严重程度警告
建议要启用或禁用防火墙,请设置mysql_firewall_mode系统变量。默认情况下,该变量在安装防火墙时启用。要显式控制初始防火墙状态,您可以在服务器启动时设置该变量。
描述LOAD DATA语句可以加载位于服务器主机上的文件,也可以在指定LOCAL关键字时加载位于客户端主机上的文件。支持LOCAL版本的LOAD DATA语句存在两个潜在的安全问题:从客户端主机到服务器主机的文件传输是由MySQL服务器发起的。理论上,可以构建一个打了补丁的服务器,它会告诉客户机程序传输服务器选择的文件,而不是客户机在LOAD DATA语句中指定的文件。这样的服务器可以访问客户机主机上客户机用户具有读访问权限的任何文件。在一个Web环境中,客户端从一个单独的Web服务器连接,用户可以使用LOAD DATA LOCAL读取Web服务器进程已经读取访问的任何文件(假设用户可以在SQL服务器上运行任何语句)。在这种环境下,MySQL服务器的客户端实际上是web服务器,而不是由连接到web服务器的用户运行的远程程序。
严重程度警告
建议禁用——local-infile选项启动MySQL服务器(——local-infile=0),或者在my.cnf/my.ini文件中添加" local-infile=0 "。