Mysql安全配置

zhangsan 2014-06-14 11:55:00

0x01 前言


很多文章中会说,数据库的权限按最小权限为原则,这句话本身没有错,但是却是一句空话。因为最小权限,这个东西太抽象,很多时候你并弄不清楚具体他需要哪些权限。 现在很多mysql用着root账户在操作,并不是大家不知道用root权限太大不安全,而是很多人并不知道该给予什么样的权限既安全又能保证正常运行。所以,本文更多的是考虑这种情况下,我们该如何简单的配置一个安全的mysql。注:本文测试环境为mysql-5.6.4

0x02 Mysql权限介绍


mysql中存在4个控制权限的表,分别为user表,db表,tables_priv表,columns_priv表。

mysql权限表的验证过程为:

1,先从user表中的Host,User,Password这3个字段中判断连接的ip用户名密码是否存在存在则通过验证
2,通过身份认证后进行权限分配按照userdbtables_privcolumns_priv的顺序进行验证即先检查全局权限表user如果user中对应的权限为Y则此用户对所有数据库的权限都为Y将不再检查db, tables_priv,columns_priv如果为N则到db表中检查此用户对应的具体数据库并得到db中为Y的权限如果db中为N则检查tables_priv中此数据库对应的具体表取得表中的权限Y以此类推

0x03 mysql有哪些权限


权限

权限级别

权限说明

CREATE

数据库、表或索引

创建数据库、表或索引权限

DROP

数据库或表

删除数据库或表权限

GRANT OPTION

数据库、表或保存的程序

赋予权限选项

REFERENCES

数据库或表

 

ALTER

更改表,比如添加字段、索引等

DELETE

删除数据权限

INDEX

索引权限

INSERT

插入权限

SELECT

查询权限

UPDATE

更新权限

CREATE VIEW

视图

创建视图权限

SHOW VIEW

视图

查看视图权限

ALTER ROUTINE

存储过程

更改存储过程权限

CREATE ROUTINE

存储过程

创建存储过程权限

EXECUTE

存储过程

执行存储过程权限

FILE

服务器主机上的文件访问

文件访问权限

CREATE TEMPORARY TABLES

服务器管理

创建临时表权限

LOCK TABLES

服务器管理

锁表权限

CREATE USER

服务器管理

创建用户权限

PROCESS

服务器管理

查看进程权限

RELOAD

服务器管理

执行flush-hosts, flush-logs, flush-privileges, flush-status, flush-tables, flush-threads, refresh, reload等命令的权限

REPLICATION CLIENT

服务器管理

复制权限

REPLICATION SLAVE

服务器管理

复制权限

SHOW DATABASES

服务器管理

查看数据库权限

SHUTDOWN

服务器管理

关闭数据库权限

SUPER

服务器管理

执行kill线程权限

0x04 数据库层面(db表)的权限分析


权限

说明

网站使用账户是否给予

Select   

可对其下所有表进行查询

建议给予

Insert            

可对其下所有表进行插入

建议给予

Update               

可对其下所有表进行更新

建议给予

Delete                   

可对其下所有表进行删除

建议给予

Create                  

可在此数据库下创建表或者索引

建议给予

Drop                 

可删除此数据库,及此数据库下的表

不建议给予

Grant               

赋予权限选项

不建议给予

References             

未来MySQL特性的占位符

不建议给予

Index                

可对其下的所有表进行索引

建议给予

Alter                  

可对其下的所有表进行更改

建议给予

Create_tmp_table          

创建临时表

不建议给予

Lock_tables             

可对其下所有表进行锁定

不建议给予

Create_view              

可在此数据下创建视图

建议给予

Show_view             

可在此数据下查看视图

建议给予

Create_routine         

可在此数据下创建存储过程

不建议给予

Alter_routine        

可在此数据下更改存储过程

不建议给予

Execute         

可在此数据下执行存储过程

不建议给予

Event               

可在此数据下创建事件调度器

不建议给予

Trigger

可在此数据下创建触发器

不建议给予

0x05 mysql安全配置方案


1 限制访问mysql端口的ip

windows可以通过windows防火墙或者ipsec来限制,linux下可以通过iptables来限制。

2 修改mysql的端口

windows下可以修改配置文件my.ini来实现,linux可以修改配置文件my.cnf来实现。

3 对所有用户设置强密码并严格指定对应账号的访问ip

mysql中可在user表中指定用户的访问可访问ip

4 root特权账号的处理

建议给root账号设置强密码,并指定只容许本地登录

5 日志的处理

如需要可开启查询日志,查询日志会记录登录和查询语句。

6 mysql进程运行账号

在windows下禁止使用local system来运行mysql账户,可以考虑使用network service或者自己新建一个账号,但是必须给与mysql程序所在目录的读取权限和data目录的读取和写入权限; 在linux下,新建一个mysql账号,并在安装的时候就指定mysql以mysql账户来运行,给与程序所在目录的读取权限,data所在目录的读取和写入权限。

7 mysql运行账号的磁盘权限

1)mysql运行账号需要给予程序所在目录的读取权限以及data目录的读取和写入权限 
2)不容许给予其他目录的写入和执行权限特别是有网站的 
3)取消mysql运行账户对于cmdsh等一些程序的执行权限

8 网站使用的mysql账户的处理

新建一个账户,给予账户在所使用数据库的所有权限即可。这样既能保证网站对所对应的数据库的全部操作,也能保证账户不会因为权限过高而影响安全。给予单个数据库的所有权限的账户不会拥有super, process, file等管理权限的。 当然,如果能很明确是的知道,我的网站需要哪些权限,还是不要多给权限,因为很多时候发布者并不知道网站需要哪些权限,我才建议上面的配置。而且我指的通用的,具体到只有几台机器,不多的情况下,我个人建议还是给予只需要的权限,具体可参考上面的表格的建议。

9 删除无用数据库

test数据库对新建的账户默认有权限

0x06 mysql入侵提权分析及防止措施


一般来说,mysql的提权有这么几种方式:

1 udf提权 此方式的关键导入一个dll文件,个人认为只要合理控制了进程账户对目录的写入权限即可防止被导入dll文件;然后如果万一被攻破,此时只要进程账户的权限够低,也没办执行高危操作,如添加账户等。

2 写入启动文件

这种方式同上,还是要合理控制进程账户对目录的写入权限。

3 当root账户被泄露

如果没有合理管理root账户导致root账户被入侵,此时数据库信息肯定是没办法保证了。但是如果对进程账户的权限控制住,以及其对磁盘的权限控制,服务器还是能够保证不被沦陷的。

4 普通账户泄露(上述所说的,只对某个库有所有权限的账户)

此处说的普通账户指网站使用的账户,我给的一个比较方便的建议是直接给予特定库的所有权限。账户泄露包括存在注入及web服务器被入侵后直接拿到数据库账户密码。

此时,对应的那个数据库数据不保,但是不会威胁到其他数据库。而且这里的普通账户无file权限,所有不能导出文件到磁盘,当然此时还是会对进程的账户的权限严格控制。

普通账户给予什么样的权限可以见上表,实在不会就直接给予一个库的所有权限。

0x07 安全配置需要的常用命令


1.新建一个用户并给予相应数据库的权限

grant select,insert,update,delete,create,drop privileges on database.* to user@localhost identified by 'passwd';

grant all privileges on database.* to user@localhost identified by 'passwd';

2.刷新权限

flush privileges;

3. 显示授权

show grants;

4. 移除授权

revoke delete on *.* from 'jack'@'localhost';

5. 删除用户

drop user 'jack'@'localhost';

6. 给用户改名

rename user 'jack'@'%' to 'jim'@'%';

7. 给用户改密码

SET PASSWORD FOR 'root'@'localhost' = PASSWORD('123456');

8. 删除数据库

drop database test;

9. 从数据库导出文件

select * from a into outfile "d:\abc.vbs"

评论

X

xiaoL 2014-06-14 13:22:51

好文!
不过怎么感觉多了那么多斜杠- -

瞌睡龙 2014-06-14 22:06:19

果然,已经改好了 :)

路人甲 2014-06-16 10:37:44

对于运行于Linux上的Mysql来讲,给创建的Mysql用户需要加上nologin的,当然,服务器本身的其他安全配置也是必须的
对于您所说的修改端口:如果是自己使用的,Mysql不允许从外网或只能某ip访问,那么修改就没什么意义了,如果是公有的,修改了端口也势必告诉别人,并且这个还是能扫出来的也没什么意义了- -#

Z

zhangsan 2014-06-16 11:06:37

是的。专门针对某一台服务器的攻击改端口是没有意义的。但是针对那些批量常用端口的小黑客来说,还是有一定意义。而且如果我都封了外网,改端口肯定是没有意义的。这些点可以根据自己公司的实际情况,选取其中的一些进行配置,并不是说封了外网还要改端口。

黑吃黑 2014-08-10 11:55:44

谢谢分享

R

redcar 2015-01-26 19:08:05

请教一下,专门创建mysql账号会不会有问题,而且如Jea所说,应该是nologin的……

M

mtfly 2016-01-15 11:35:56

@redcar 默认的话 不是会新建一个mysql用户么?那应该就行了啊

M

mtfly 2016-01-15 11:37:17

@瞌睡龙
新建用户以及添加权限
grant select,insert,update,delete,create,drop privileges on database.* to [email protected]/* <![CDATA[ */!function(t,e,r,n,c,a,p){try{t=document.currentScript||function(){for(t=document.getElementsByTagName('script'),e=t.length;e--;)if(t[e].getAttribute('data-cfhash'))return t[e]}();if(t&&(c=t.previousSibling)){p=t.parentNode;if(a=c.getAttribute('data-cfemail')){for(e='',r='0x'+a.substr(0,2)|0,n=2;a.length-n;n+=2)e+='%'+('0'+('0x'+a.substr(n,2)^r).toString(16)).slice(-2);p.replaceChild(document.createTextNode(decodeURIComponent(e)),c)}p.removeChild(t)}}catch(u){}}()/* ]]> */ identified by 'passwd';
修改成
grant select,insert,update,delete,create,drop on database.* to [email protected]/* <![CDATA[ */!function(t,e,r,n,c,a,p){try{t=document.currentScript||function(){for(t=document.getElementsByTagName('script'),e=t.length;e--;)if(t[e].getAttribute('data-cfhash'))return t[e]}();if(t&&(c=t.previousSibling)){p=t.parentNode;if(a=c.getAttribute('data-cfemail')){for(e='',r='0x'+a.substr(0,2)|0,n=2;a.length-n;n+=2)e+='%'+('0'+('0x'+a.substr(n,2)^r).toString(16)).slice(-2);p.replaceChild(document.createTextNode(decodeURIComponent(e)),c)}p.removeChild(t)}}catch(u){}}()/* ]]> */ identified by 'passwd';

Z

zhangsan

http://www.zhangsan.me

twitter weibo github wechat

随机分类

神器分享 文章:71 篇
Windows安全 文章:88 篇
其他 文章:95 篇
后门 文章:39 篇
Android 文章:89 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录