My sql 测评指导书
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
show grants for root@localhost; 查看
在Mysql的默认设置中,如果一个数据库连接超过8小时没有使用(闲置8小时,即28800s),mysql server将 主动断开这条连接,后续在该连接上进行的查询操作都将失败,将 出现:error 2006 (MySQL server has gone away)! 查看mysql server超时时间:msyql> show global variables like '%timeout%'; 查询出的均 以秒为单位, 设置mysql server超时时间:msyql> set global wait_timeout=10; 从MYSQL4.x开始,MYSQL就增加了以每个用户为基础,限制MYSQL服务器的资源利用, 查看MYSQL.USER “mysql> select version();” 若在结尾能看到 1)“MAX_CONNECTIONS_PER_HOUR” 用来控制用户每小时打开新连接的数量。 2)“MAX_UPDATES_PER_HOUR” 用来限制用户每小时的修改数据库 数据的数量。
#DIV/0!
#DIV/0!
0.5
#DIV/0!
#DIV/0!
1
#DIV/0! #DIV/0!
#DIV/0!
wk.baidu.com
1
#DIV/0!
#DIV/0!
0.5
#DIV/0! #DIV/0!
#DIV/0!
0.5
#DIV/0!
e)应保护审计进程,避免受到未预 期的中断
f)应保护审计记录,避免受到未预 期的删除、修改或覆盖等
a)应通过设定终端接入方式、网络 地址范围等条件限制终端登录
资源控制 b)应根据安全策略设置登录终端的 操作超时锁定
c)应限制单个用户对系统资源的最 大或最小使用限度
备份和恢复
a)应提供数据本地备份与恢复功 能,完全数据备份至少每天一次,备 份介质场外存放 b)应提供异地数据备份功能,利用 通信网络将关键数据定时批量传送至 备用场地
测评方法
1)试图登录数据库,查看是否提示输入密码。 账户和空密码登陆;
2)如果安装过程中没有设置密码,是可以用mysql
1)询问数据库管理员口令策略,查看有无空口令用户。 2)让管理员以root的身份登录数据库,查看是否为弱口令并询问更换周期。
远程管理数据库时 应该采用SSH等方式远程管理。
询问数据库管理员,是否为不同的登录用户分配丌同的用户名,保证对用户行为可审计。
e)应为操作系统和数据库系统的不 同用户分配不同的用户名,确保用户 名具有唯一性
f)应采用两种或两种以上组合的鉴 别技术对管理用户进行身份鉴别
a)应启用访问控制功能,依据安全 策略控制用户对资源的访问
b)应根据管理用户的角色分配权 限,实现管理用户的权限分离,仅授 予管理用户所需的最小权限 c)应实现操作系统和数据库系统特 权用户的权限分离 d)应严格限制默认帐户的访问权 限,重命名系统默认帐户,修改这些 帐户的默认口令 访问控制
#DIV/0!
0.5
#DIV/0! #DIV/0!
#DIV/0! #DIV/0! 0.5 #DIV/0!
#DIV/0!
0.5
#DIV/0!
#DIV/0!
0.5
#DIV/0!
#DIV/0!
1
#DIV/0!
#DIV/0!
1
#DIV/0!
#DIV/0!
0.5
#DIV/0! #DIV/0!
#DIV/0!
1
询问数据库管理员,是否采取除身份鉴别外的其他鉴别方式,可采取除口令外的其他鉴别技术(如生物识别技 术、数字证书等)对用户身份迚行鉴别,两次重复输入口令丌属于两种组合鉴别技术。 1)查看是否依据安全策略为角色限定了权限。 2)查看是否为每个登录用户分配并限制了服务器角色。 查看所有用户,SELECT DISTINCT CONCAT('User:''',user,'''@''',host,''';') AS query FROM mysql.user; 查看单个用户的权限 show grants for 'root'@'localhost';
安全控制点
测评对象
a应对登录操作系统和数据库系统的 用户进行身份标识和鉴别
b)操作系统和数据库系统管理用户 身份标识应具有不易被冒用的特点, 口令应有复杂度要求并定期更换 c)应启用登录失败处理功能,可采 取结束会话、限制非法登录次数和自 劢退出等措施 身份鉴别 d)当对服务器进行远程管理时,应 采取必要措施,防止鉴别信息在网络 传输过程中被窃听
访问控制 e)应及时删除多余的、过期的帐 户,避免共享帐户的存在
f)应对重要信息资源设置敏感标记
g)应依据安全策略严格控制用户对 有敏感标记重要信息资源的操作
h) 应对拨号接入用户采用数字证书 认证机制,并限制具有拨号访问权限 的用户数量。 a)审计范围应覆盖到服务器和重要 客户端上的每个操作系统用户和数据 库用户 b)审计内容应包括重要用户行为、 系统资源的异常使用和重要系统命令 的使用等系统内重要的安全相关事件 c)审计记录应包括事件的日期、时 间、类型、主体标识、客体标识和结 果等 安全审计 d)应能够根据记录数据进行分析, 并生成审计报表
查看每个登录用户的角色和权限。
询问系统管理员和数据库管理员是否进行了特权分离
询问管理员是否修改了默认账号的口令,口令无法通过命令查看的。
查看所有用户,SELECT DISTINCT CONCAT('User:''',user,'''@''',host,''';') AS query FROM mysql.user;
询问并查看是否实现了上述功能,如果有,则实地查看这些功能的实现情况。
询问并查看是否实现了上述功能,如果有,则实地查看这些功能的实现情况。
测评对象1
测评对象2
测评对象3
测评对象4
结果记录
控制点得分 结果记录 控制点得分 结果记录 控制点得分 结果记录 控制点得分
测评对象5 平均值 结果记录 控制点得分 权重 平均 值*权重 安全控制点得分
#DIV/0!
1
#DIV/0!
#DIV/0!
0.5
#DIV/0!
#DIV/0!
1
#DIV/0!
#DIV/0! #DIV/0! 0.5 #DIV/0!
#DIV/0!
1
#DIV/0!
#DIV/0!
0.5
#DIV/0!
#DIV/0!
0.5
#DIV/0!
#DIV/0!
1
#DIV/0!
#DIV/0!
1
#DIV/0!
Mysql默认不开启日志功能,查看是否启用了相关日志功能mysql>show variables like ’log_%’;
通过mysql>show variables like ’log_%’;查看相应日志功能是否开启。
询问管理员 是否有相关日志服务器
可通过GRANT 设置用户的远程登录地址,通过查看单个用户的权限 权限