MySQL网络安全&容灾备份

网络安全主要三个方面。一般云厂商都提供网络相关的安全：白名单、私有网络、SSL加密等。

 

网络：

  MySQL服务器与客户端连接安全 SSL（TLS）加密传输。

  账户使用较弱的密码或不使用密码，账号安全。valited_password。

  账号权限，最小化原则。

  网络访问控制，云厂商使用白名单，私有网络隔离。自建主要涉及防火墙，网络隔离。禁止内网里面进行公网IP私用。

 

操作系统

  服务器存在额外的账户会增加MySQL的脆弱性。

  账号密码安全。

  防火墙。

 

文件系统

  文件夹、数据文件、日志文件可以被其他用户访问

 

 

防火墙：指定配置的IP和端口进行访问。一般设置为办公场地固定IP，端口改为非默认端口。设定访问频率和协议。

网络隔离：就算是内网访问，也可以进行网络分区，普通网络无法直接访问数据库。需要单独配置访问策略。

SSL加密。一般MySQL本身支持。同时很多时候都有代理，需要代理支持常见的SSL。

 

 

数据库：

1. 数据库版本及运行要求

  使用稳定的解决了已知漏洞的版本，如5.7.20，8.0.2等。

  my.cnf配置 --skip-symbolic-links选项启动数据库：禁止在创建索引和创建表的时候，将索引文件和数据文件链接到其他文件。

 

2. 通用加固项

  删除冗余数据库, 如test。drop database if exists ${dbname};

  清除无用用户（没有用户名的用户）。 drop user ''

  修改超级用户的密码。 ALTER USER 'root'@'localhost' IDENTIFIED WITH sha256_password BY 'pwd';

  配置密码复杂度,使用validate_password.so插件。

  以上可以使用mysql_secure_installation 来完成。

 

3. 用户权限

实际应用中，有修改mysql.user的用户都算超级用户，都禁止远程连接数据库。

避免以管理员用户创建存储过程和函数。

 

以下权限属于高级权限，避免授权给普通用户。

  All/All Privileges权限代表全局或者全数据库对象级别的所有权限，不包括with option以及proxy权限。

  Alter 权限代表允许修改表结构的权限。

  Alter routine 权限代表允许修改或者删除存储过程、函数的权限

  create 权限代表允许创建新的数据库和表的权限

  Create routine权限代表允许创建存储过程、函数的权限

  Create tablespace权限代表允许创建、修改、删除表空间和日志组的权限

  Create temporary tables 权限代表允许创建临时表的权限

  Create user权限代表允许创建、修改、删除、重命名user的权限

  Drop权限代表允许删除数据库、表、视图的权限，包括truncate table命令

  Event权限代表允许查询，创建，修改，删除MySQL事件

  Execute权限代表允许执行存储过程和函数的权限

  File权限代表允许在MySQL可以访问的目录进行读写磁盘文件操作，可使用的命令包括load data infile,select … into outfile,load file()函数

  Grant option权限代表是否允许此用户授权或者收回给其他用户你给予的权限,重新付给管理员的时候需要加上这个权限

  Index权限代表是否允许创建和删除索引

  Lock权限代表允许对拥有select权限的表进行锁定，以防止其他链接对此表的读或写。

  Process权限代表允许查看MySQL中的进程信息，比如执行show processlist, mysqladmin processlist, show engine等命令

  Reference权限是在5.7.6版本之后引入，代表是否允许创建外键。

  Reload权限代表允许执行flush命令，指明重新加载权限表到系统内存中，refresh命令代表关闭和重新开启日志文件并刷新所有的表

  Replication client权限代表允许执行show master status,show slave status,show binary logs命令

  Replication slave权限代表允许slave主机通过此用户连接master以便建立主从复制关系。

  Show databases权限代表通过执行show databases命令查看所有的数据库名

  Shutdown权限代表允许关闭数据库实例，执行语句包括mysqladmin shutdown

  Super权限代表允许执行一系列数据库管理命令，包括kill强制关闭某个连接命令， change master to创建复制关系命令，以及create/alter/drop server等命令

  Trigger权限代表允许创建，删除，执行，显示触发器的权限

 

普通权限：

  Insert权限代表是否允许在表里插入数据，同时在执行analyze table,optimize table,repair table语句的时候也需要insert权限

  Update权限代表允许修改表中的数据的权限

  Select权限代表允许从表中查看数据，某些不查询表数据的select执行则不需要此权限，如Select 1+1， Select PI()+2；而且select权限在执行update/delete语句中含有where条件的情况下也是需要的

  Delete权限代表允许删除行数据的权限

  Create view权限代表允许创建视图的权限

  Show view权限代表通过执行show create view命令查看视图创建的语句

  Usage权限是创建一个用户之后的默认权限，其本身代表连接登录权限

 

 

更改MySQL root用户的名字

  update mysql.user set user='<your_account>' where user='root'

  flush privileges

 

4. 连接设置

  监听地址不允许包含*，0.0.0.0，：：     [mysqld] bind-address=<’ServerIP’>

  用户主机名不使用通配符%

  超级管理员只能本地登录

  更改MySQL默认监听3306端口

 

如果数据库不允许网络连接，仅支持本地通过socket连接。可以my.cnf中配置：

  skip-networking

  或者强制只监听本机：bind-address=127.0.0.1

 

禁用LOCAL INFILE命令，可以my.cnf中配置

　　set-variable=local-infile=0

 

 

限制数据库连接闲置等待时间

[mysqld] wait_timeout、interactive_timeout、slave-net-timeout

 

MySQL 5.7.17 以后提供了Connection-Control插件用来控制客户端在登录操作连续失败一定次数后的响应的延迟。该插件可有效的防止客户端暴力登录的风险(攻击)，修改my.cnf配置文件：

plugin-load-add="connection_control.so"

connection-control=FORCE_PLUS_PERMANENT

connection-control-failed-login-attempts=FORCE_PLUS_PERMANENT

connection-control-failed-connections-threshold=3

connection-control-min-connection-delay=1000

connection-control-max-connection-delay=2147483647

 

 

 

5. ssl安全认证

确保对所有远端用户均需要使用SSL连接

GRANT USAGE ON *.* TO <my_user>@<host> REQUIRE SSL;

 

 

5.2确保 secure_file_priv 不是空：

secure_file_priv 限制客户端可以读取数据文件的路径，secure_file_priv设置合理的值可以有效降低 sql 注入后黑客读取数据库数据的可能性。SHOW VARIABLES like '%secure_file_priv%'

 

5.3复制安全

MASTER_SSL_VERIFY_SERVER_CERT指示从属设备是否应该验证主服务器的证书。此配置项可以设置为“是”或“否”，除非在从节点上启用了SSL，否则将忽略该值。 在mysql.slave_master_info表中

 

确保 master_info_repository 设置成 table，相对更安全。

 

 

6. 操作系统相关配置

 

6.1 禁止数据库启动用户交互式登录

    /etc/passwd文件，在mysql用户对应行添加/sbin/nologin或/bin/false.

    usermod -s /sbin/nologin mysql

 

6.2 文件权限

1. 禁止mysql_history文件记录信息

    rm <your_path>/.mysql_history 

    ln -s /dev/null <your_path>/.mysql_history

    sed -i '$a readonly MYSQL_HISTFILE=/dev/null' /etc/profile

 

2. 限制安装文件属主和权限

    MySQL安装目录和文件属主要求为MySQL运行用户，目录权限要求为700，二进制文件为500，库文件为500，启动文件（一般位于/etc/init.d目录下）为500。

 

3. 限制数据库数据文件属主和权限

    数据目录和文件属主为mysql用户，数据目录为700，数据文件为600。

    chmod 700 <data_dir Value>

    chown -R mysql:mysql <data_dir Value>

    chmod 600 <data_dir Value>/*

 

4. 限制日志文件（含binlog）属主(mysql)和权限(600)

    MySQL数据库中常见日志文件有：

    -  **错误日志**（log_error）：

            记录了MySQL的启停和运行过程。  log_error=/opt/mysql/data/aaa.err'

            

    -  **二进制日志**（log_bin）：

            记录了对数据库执行更改的所有操作。作用：数据恢复、复制、日志审计（如判断有无注入攻击）。

            备注：bin_log.00001即是二进制日志，bin_log.index为索引文件。二进制日志可使用自带的**mysqlbinlog**工具查看。

 

    -  慢查询日志（slow_query_log_file）：

            记录运行慢的sql，帮助进行sql优化。

            slow_query_log=1                     # 默认关闭，1启用，0禁用     [log_slow_queries]

            slow_query_log_file=slow.log    # 指定文件路径和名字；默认值是'主机名-slow.log'，位于datadir目录  

            long_query_time=3                   # 执行时间超过设置阈值(s)的sql语句会被记录在slow_query_log_file中

            log_output=FILE,TABLE           # 指定慢查询的输出方式，动态参数。 FILE：慢查询日志；TABLE：mysql.slow_log表

            Tips： 可以借助**mysqldumpslow**命令帮助分析慢查询日志。

 

    -  查询日志（general_log_file）

            记录了所有对数据库请求的信息。

            general_log=1          # 默认关闭，配置此参数开启查询日志。

            general_log_file=/opt/mysql/data/general.log  

 

            mysql>set global general_log_file='/tmp/general.log';

            mysql>set global general_log=on;  

            mysql>set global general_log=off;  

            与slow_log一样，可以将查询日志放入mysql.general_log表中。

 

5. 限制my.cnf文件属主和权限

    chmod 600 /xxx/my.cnf

    chown mysql:mysql /xxx/my.cnf  

 

6. 限制Plugin目录及其文件权限

    show variables where variable_name = 'plugin_dir';

 

    chmod 500 <plugin_dir Value>

    chown -R mysql:mysql <plugin_dir Value>

    chmod 400 <plugin_dir Value>/*    

 

7. 限制SSLfile文件权限

    数据库运行用户，权限是否为400。

    show variables like 'ssl%';

 

8、chroot

  Unix操作系统中的chroot可以改变当前正在运行的进程及其子进程的root目录。重新获得另一个目录root权限的程序无法访问或命名此目录之外的文件。

 

9、mysql脚本安全mysql_config_editor

 

  mysql_config_editor set --login-path=local --host=localhost --user=db_user --password

  多实例：

  mysql_config_editor set --login-path=local3306 --host=localhost --user=db_user --socket="/tmp/mysql.sock" --password

 

  用户/密码将被保存在你的密码中。home/system_username/.mylogin.cnf  加密了的。看不到密码。

  使用方法;

  mysql --login-path=local  -e "statement"

  删除：

  mysql_config_editor remove --login-path=local3306

  输出：

  mysql_config_editor print --login-path=local3306

  修改：

  mysql_config_editor reset --login-path=local3306 --host=localhost --user=db_user --socket="/tmp/mysql.sock" --password

 

 

 

7、程序相关

  防止SQL注入攻击：SQL注入攻击是最常见和最具破坏力的MySQL攻击之一。

  GreenSQL，具有数据库防火墙（Database Firewall）、数据库入侵检测系统（Database IDS），甚至数据库的入侵防御（Database IPS）、数据库虚拟补丁（Virtual Patching）的特性。已全面支持MS SQL、MySQL、PostgreSQL。

 

  *访问敏感表（用户，帐户，信用卡信息）

  *一个空密码字符串

  *一个'或'查询标记内

  *SQL表达式，它总是返回true（同义反复的SQL）

 

 

==========================  备份 恢复 =====================

 

容灾：同城容灾（多可用区实例）、异地容灾（两地多中心）。

 

1、使用高可用或集群架构，基于MGR。

2、可以让备节点处于其他可用区，或者机房。

3、可以进行异地容灾备份，备份数据。脚本定时任务自动备份。

4、备份方式，快照备份，物理备份xtrabackup，逻辑备份mysqldump,mysqlpump等，binlog备份多种备份结合。在slave上备份。

 

binlog备份。（备份恢复目录）