10bet网址
MySQL 4.0企业监控手册
相关的文档10bet官方网站 本手册下载

18.11安全顾问

本节描述的安全顾问。

请注意

MySQL企业防火墙和MySQL企业审计插件顾问了MySQL企业防火墙MySQL企业审计插件

旧账户不安全的密码散列

MySQL 4.1之前,密码散列计算密码()函数是16字节长。MySQL 4.1(后来),密码()修改产生更长的41-byte提供增强的安全散列值。

默认频率06:00:00

默认启用自动关闭没有

账户需要用时身份验证插件

MySQL支持多种形式的身份验证的5.5版本,包括外部使用PAM身份验证机制,或与商业版本的Windows本地身份验证MySQL 5.5.16或更高版本。如果一个用户配置为使用身份验证插件,插件,不得装载服务器开始,这对用户屏蔽数据库。

默认频率06:00:00

默认启用自动关闭是的

不安全的密码身份验证选项启用

MySQL 4.1之前,密码散列计算密码()函数是16字节长。MySQL 4.1(后来),密码()修改产生更长的41-byte提供增强的安全散列值。然而,为了允许向后兼容的用户表已经从pre - 4.1迁移系统,您可以配置MySQL接受登录账户密码散列使用旧的创建,低收入低保险密码()函数,但这是不推荐。

默认频率06:00:00

默认启用自动关闭没有

不安全的密码生成选项启用

MySQL 4.1之前,密码散列计算密码()函数是16字节长。MySQL 4.1(后来),密码()修改产生更长的41-byte提供增强的安全散列值。为了与老客户程序允许向后兼容,您可以配置MySQL生成短(pre - 4.1)密码新密码散列,然而,这是不推荐。

默认频率06:00:00

默认启用自动关闭没有

当地选项启用加载数据的语句

加载数据语句可以加载一个文件,该文件位于服务器主机,或者它可以加载一个文件,该文件位于客户端主机的时候当地的关键字指定。

有两个潜在的安全问题与支持当地的版本的加载数据声明:

  • 从客户端主机文件的传输到服务器主机发起的MySQL服务器。理论上,一个补丁服务器可以建造会告诉客户端程序将一个文件服务器的选择,而不是文件命名的客户加载数据声明。这样的服务器可以访问任何文件在客户端主机的客户端用户具有读访问。

  • 在Web环境中,客户端连接从一个单独的Web服务器,用户可以使用数据加载本地读任何文件,web服务器进程读访问权(假设一个用户可以运行任何语句对SQL server)。在这种环境下,客户对MySQL服务器实际上是web服务器,而不是远程程序由用户连接到web服务器。

有关更多信息,请参见加载数据的声明

默认频率00:05:00

默认启用自动关闭没有

基于策略的密码验证不执行字典检查

如果用户创建弱密码妥协的安全服务器,对未经授权的人更容易猜测的密码和访问服务器。从MySQL服务器5.6开始,MySQL提供了validate_password插件,可用于测试密码和提高安全性。这个插件可以实现和执行政策密码强度(例如密码必须至少8个字符长,都大写和小写字母,包含至少一个特殊的非字母数字字符,和不匹配常用的单词)。

的更多信息validate_password插件,看到密码验证插件

默认频率06:00:00

默认启用自动关闭没有

基于策略的密码验证是弱

如果用户创建弱密码,妥协的安全服务器,对未经授权的人更容易猜测的密码和访问服务器。从MySQL服务器5.6开始,MySQL提供了validate_password插件,可用于测试密码和提高安全性。这个插件可以实现和执行政策密码强度(例如密码必须至少8个字符长,都大写和小写字母,包含至少一个特殊非字母数字的字符)。

的更多信息validate_password插件,看到密码验证插件

默认频率06:00:00

默认启用自动关闭没有

基于策略的密码验证未启用

如果用户创建弱密码,妥协的安全服务器,对未经授权的人更容易猜测的密码和访问服务器。从MySQL服务器5.6开始,MySQL提供了validate_password插件,可用于测试密码和提高安全性。这个插件可以实现和执行政策密码强度(例如密码必须至少8个字符长,都大写和小写字母,包含至少一个特殊非字母数字的字符)。

的更多信息validate_password插件,看到密码验证插件

默认频率06:00:00

默认启用自动关闭没有

特权变化发现:授予的特权

开发环境中,更改数据库的安全特权可能是正常现象,但对于生产环境是明智的知道当出现任何安全修改数据库特权,并确保这些变化是授权和要求。

默认频率00:05:00

默认启用自动关闭没有

特权变化发现:特权撤销

开发环境中,更改数据库的安全特权可能是正常现象,但对于生产环境是明智的知道当出现任何安全修改数据库特权,并确保这些变化是授权和要求。

默认频率00:05:00

默认启用自动关闭没有

特权发现变化

开发环境中,更改数据库的安全特权可能是正常现象,但对于生产环境是明智的知道当出现任何安全修改数据库特权,并确保这些变化是授权和要求。

默认频率00:05:00

默认启用自动关闭没有

根帐户可以远程登录

默认情况下,MySQL包含一个根帐户与无限的特权,通常用于管理MySQL服务器。如果可能的话,与这么多权力不应该允许远程登录账户,以限制访问只有这些用户能够登录到MySQL运行机器。这可以帮助防止未经授权的用户访问和更改系统。

默认频率00:05:00

默认启用自动关闭没有

根帐户没有密码

根用户账户有无限的特权和用于管理任务。特权帐户应该强密码,以防止未经授权的用户访问和更改系统。

默认频率00:05:00

默认启用自动关闭是的

sha - 256密码身份验证未启用

帮助保证服务器安全,每个用户的密码是加密的,加密方法越强,更安全的服务器。从MySQL服务器5.6开始,MySQL,这提供了一种新的加密算法,使用sha - 256密码散列执行身份验证。这个比那个更强的加密使用本地身份验证。

默认频率06:00:00

默认启用自动关闭没有

服务器包含数据库默认的“测试”

默认情况下,MySQL数据库命名测试任何人都可以访问。这个数据库的目的是仅供测试和移动到生产环境中之前应该删除。因为默认的测试数据库可以被任何用户访问和宽容的特权,它应立即下降作为安装过程的一部分。

默认频率00:05:00

默认启用自动关闭没有

服务器账号没有密码

帐号没有密码尤其危险,因为攻击者只需要想一个用户名。分配所有账户密码帮助防止未经授权的用户访问系统。

默认频率00:05:00

默认启用自动关闭是的

而不是被用作代理服务器有匿名账户

匿名MySQL账户允许客户机连接到服务器没有指定一个用户名。因为匿名账户在MySQL是众所周知的,删除它们有助于防止未经授权的用户访问系统。

请注意

这个顾问和代理用户区分匿名账户。有关代理用户的更多信息,请参阅代理用户

默认频率00:05:00

默认启用自动关闭是的

服务器在本地没有经过身份验证的根用户

MySQL 5.5支持内置验证和外部验证通过其他方法如PAM (LDAP、Unix用户身份验证)和Windows本地身份验证。然而,如果所有的“根”用户配置为使用外部认证,如果这个外部身份验证失败(比如LDAP服务器失去权力),那么所有管理员访问MySQL服务器拒绝。

默认频率06:00:00

默认启用自动关闭没有

服务器包含一个根用户账户

默认情况下,MySQL包含一个根帐户与无限的特权,通常用于管理MySQL服务器。没有理由必须命名这个帐户。账户与这么多权力不应轻易发现。因为根在MySQL账户是众所周知的,改变它的名字可以帮助防止未经授权的用户访问和更改系统。

默认频率00:05:00

默认启用自动关闭没有

符号链接启用

你可以从数据库表和数据库目录移动到其他位置,代之以符号链接到新的位置。您可能想要做到这一点,例如,移动数据库文件系统有更多的自由空间或提高系统的速度通过传播你的表不同的磁盘。

然而,符号链接可以妥协的安全。这是如果你作为根用户运行mysqld尤其重要,因为人都写访问服务器的数据目录就可以删除任何文件系统中!

默认频率06:00:00

默认启用自动关闭没有

用户数据库的权利是不存在的

当一个数据库被删除,用户权限数据库不会自动下降。这安全,影响用户恢复特权如果创建一个具有相同名称的数据库在未来,这可能不是预想的结果。

默认频率00:05:00

默认启用自动关闭没有

不存在的用户权限表

当一个表被删除,用户权限表不会自动删除。这安全,影响用户恢复权限名称相同的如果一个表在同一个数据库中创建未来,这可能不是预想的结果。

默认频率00:05:00

默认启用自动关闭没有

用户可以查看MySQL服务器上的所有数据库

显示数据库特权只应赋予用户需要看到一个MySQL服务器上的所有数据库。建议的MySQL服务器被启动——skip-show-database选择启用防止任何人使用显示数据库语句,除非他们已经特别授予显示数据库特权。

请注意

如果一个用户授予任何全局特权,比如创建临时表或锁表,他们会自动显示数据库,除非服务器开始的——skip-show-database选择启用。dba应该意识到这个事实,如果任何应用程序使用临时表。

默认频率00:05:00

默认启用自动关闭没有