4、文件安全基线检查
NO.1 | 限制用户的连接数 |
原因 | 同个用户多个远程连接,会导致性能下降,根据实际情况设置连接数 |
解决 | # 修改my.cnf中max_user_connections |
NO.2 | 目录权限限制 |
原因 | mysql默认安装在/usr/local/mysql下,数据库文件在/usr/local/mysql/var下,权限不正确会导致数据存在被COPY走的风险 |
解决 | |
NO.3 | 历史命令泄漏 |
原因 | linux的历史命令可能会泄漏mysql的帐号密码等信息 |
解决 | # 限制历史命令记录为一个较小的数 |
NO.4 | 限制访问数据的IP |
原因 | 不要使用%来设置来源IP,指定精确的来源IP限制 |
解决 | |
5、数据库配置基线检查
NO.1 | 开启日志审计功能数据库应配置日志功能 |
原因 | 便于记录运行状况和操作行为 |
解决 | 在my.cnf中,添加如下行 general_log = on // 审计,on为开启;off为关闭 general_log_file = /home/mysql/log/mysql.log log_error = /home/mysql/log/mysql_error.log slow_query_log_file = /home/mysql/log/mysql_slow.log 登录数据库,查询日志开启情况 错误日志是否开启 SHOW variables LIKE 'log_error'; 错误日志等级设置 SHOW GLOBAL VARIABLES LIKE 'log_warnings'; 测试数据库是否存在 SHOW DATABASES LIKE 'test'; 是否可以读取本地文件 SHOW VARIABLES WHERE Variable_name = 'local_infile'; |
