本节对以下内容进行描述安全顾问:
有关MySQL企业审计插件的更多信息,请参见MySQL企业审计.
这个建议器使您能够为审计日志插件配置事件生成。该advisor具有以下参数:
事件失去阈值:为由于设置服务器属性而丢失的审计事件生成事件
audit_log_strategy
来性能
.输入每个阈值的丢失消息数。写等待百分比阈值:根据审计日志写等待的次数产生事件。百分比按写等待和写计算。
事件过滤阈值:根据审计日志配置过滤掉的审计事件数量产生事件
检测过滤配置:如果设置为“是”,则为过滤审计日志事件的任何配置生成事件。如果设置为“No”,则忽略此类配置。
有关MySQL企业防火墙的更多信息,请参见MySQL企业防火墙.
这个建议器使您能够为MySQL企业防火墙配置事件生成。该advisor具有以下参数:
防火墙启用阈值:如果防火墙已安装但未启用,则产生事件。要更改警报级别,请将值0(表示“OFF”)移动到所需的阈值。
拒绝访问的阈值:生成被防火墙拒绝的次数的事件。在所需的阈值中输入拒绝的数量。
访问可疑阈值:为防火墙认为语句可疑的次数生成事件。
分析服务器上MySQL用户帐户的配置,并在检测到以下问题时发出警报:
广义主机说明符排除正则表达式:
MySQL服务器的用户帐户具有过于宽泛的主机说明符。的用户名和主机名中可以找到MySQL帐户的用户名和主机名
mysql.user
表格User值是客户端连接到服务器时必须提供的名称。“主机”值表示允许用户连接的一个或多个主机。如果这是一个字面主机名,则帐户仅被限制为来自该主机的连接。如果主机名中包含%
通配符,用户可以从匹配通配符的任何主机连接,也可以从任何主机连接。字面宿主值是最好的和
%
是最糟糕的。具有包含通配符的Host值的帐户比具有字面主机值的帐户更容易受到攻击,因为攻击者可以尝试从更广泛的机器进行连接。例如,如果帐户的user和host值为
根
而且%
,这意味着您可以作为根用户连接任何
机器,如果你知道密码。相反,如果主机名是本地主机
或127.0.0.1
,攻击者只能尝试以root用户从服务器主机连接。advisor使您能够使用正则表达式指定允许使用的用户的排除列表
%
中的主机条目mysql.user
表格匹配此模式的用户不会生成事件。例如:
^ (user1 | user2)美元
只允许用户user1或user2使用
%
中的主机条目mysql.user
表格将为任何其他用户生成事件%
用于它们的宿主条目。全局特权用户排除正则表达式:
MySQL服务器可能拥有对所有数据库和表(*.*)具有特权的用户帐户。在大多数情况下,应该只允许MySQL根用户使用全局特权,可能还允许您信任的用户或用于备份目的的用户使用全局特权。全球特权,例如
下降
,改变
,删除
,更新
,插入
,锁表
可能是危险的,因为它们可能会使其他用户受到不利影响。的全局权限上允许定义正则表达式的用户
mysql.user
表(改变
,删除
,下降
,插入
,LOCK_TABLES
,或更新
).例如:^ (user1@host1 | user2@host2)美元
只允许host1上的user1或host2上的user2具有全局权限
mysql.user
表格将为具有这些特权的任何其他用户生成事件。强MySQL特权用户排除正则表达式:
的全局权限上允许定义正则表达式的用户
mysql.user
表(CREATE_USER
,文件
,格兰特
,过程
,LOCK_TABLES
,关闭
,超级
或重新加载
).例如:^ (user1@host1 | user2@host2)美元
只允许host1上的user1或host2上的user2具有强权限
mysql.user
表格将为具有这些特权的任何其他用户生成事件。所有数据库上的数据库级特权用户排除正则表达式:
SELECT、INSERT和ALTER等特权允许用户查看和更改数据。这种操作应该仅限于用户需要访问的那些数据库。
中的所有数据库上允许具有数据库级特权的用户帐户
mysql.user
表(改变
,创建
,删除
,下降
,指数
,插入
,选择
,更新
).例如:^ (user1@host1 | user2@host2)美元
只允许host1上的user1或host2上的user2对数据库中的所有数据库具有数据库级特权
mysql.user
表格将为具有这些特权的任何其他用户生成事件。