MySQL和PostgreSQL数据库安全配置

0x00 MySQL和PostgreSQL安全配置


针对开源数据库MySQL和PostgreSQL的安全配置主要主要通过身份鉴别、访问控制、安全审计、入侵防范、资源控制五个方面来实现。

0x01 身份鉴别


MySQL和PostgreSQL均可以实现身份鉴别功能。通过设置数据库基本上能够实现能够满足《信息系统安全等级保护基本要求》第三级身份鉴别中大部分要求,但是对于“f 项应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别”,需要使用第三方的身份鉴别技术,如:口令、数字证书、生物特征等2

(一)、MySQL数据库

MySQL数据库在安装后默认存在mysql数据库,该数据库为系统表所在的数据库,所有用户记录在mysql数据库的user三个权限表的用户列(包括host、user、password三个字段)。

1)对于身份认证MySQL是通过IP地址和用户名进行联合确认的,[email protected]

2)安全配置时尽量避免采用默认的用户名root,建议对默认用户名进行重命名,这样增加鉴别信息被猜测的难度;

  • mysql> update mysql.user set user ='madman' where user='root'; --将root重命名为madman

3)mysql数据库默认无法实现密码更改周期和密码复杂度要求,需要管理员定期更改口令的复杂度,可以通过如下命令设置密码;

  • mysql>update mysql.user set password=password("[email protected]!@") where User="root" and host="localhost"; --设置密码复杂度
  • mysql>FLUSH PRIVILEGES; --刷新权限表

除了密码认证外,MySQL还支持UNIX域套接字,可以在配置文件中指定套接字文件的路径,如—socket=/tmp/mysql.sock,当数据库启动后可以使用UNIX套接字的方式进行认证。

4)针对MySQL5以后的版本建议禁止使用old_password参数,--old-passwords选项的目的是当服务器生成长密码哈希值时,允许你维持同4.1之前的客户端的向后兼容性。在MySQL4.1版本以后建议禁止使用该参数。

5)MySQL数据库也支持SSL远程登录,如果采用本地管理方式则不需要考虑远程连接安全,如果采用远程管理则需要SSL支持。

  • mysql>SHOW VARIABLES LIKE '%have\_ssl%'; --查看是否支持ssl的连接特性,若为disabled,说明此功能没有激活。

6)确保所有的身份鉴别的密码具有较强的密码复杂度。

最后,MySQL数据库本身不支持登录次数限制,无法实现针对用户的锁定,具有登录的连接超时设置。

(二)、PostgreSQL数据库

PostgreSQL 支持丰富的认证方法:信任认证、口令认证、PAM认证等多种认证方式。PostgreSQL 默认配置只监听本地端口,无法通过远程TCP/IP连接数据库。需要修改 postgresql.conf 中的 listen_address 字段修改监听端口,使其支持远程访问。例如listen\_addresses = '*'表示监听所有端口。

  1. 线上重要数据库禁止使用trust方式进行认证,必须使用md5方式。
  2. 重命名数据库超级管理员账户为pgsqlsuper,此帐号由DBA负责人保管,禁止共用;
  3. 配置数据库客户端支持SSL连接的配置。客户端认证是由一个配置文件控制的,存放在数据库集群的数据目录里[3]
    1. 用openssl生成密钥对,创建一个自签名的服务器密匙(server.key)和证书(server.crt);
    2. 数据库的配置主要通过两个配置文件pg_hba.conf和postgresql.conf来实现;
    3. 开启TCP/IP连接:将postgresql.conf参数tcpip_socket设置为true;
    4. 开启SSL:将postgresql.conf参数ssl设置为true;
    5. 强制局域网内的所有主机以任何PostgreSQL中存在的用户通过TCP+SSL的方式连接到PostgreSQL;
    6. 在pg_hba.conf文件中增加记录:hostssl all all 192.168.54.1/32 md5。
  4. postgresql中还可以通过pg_user系统表的valuntil字段实现用户口令失效的时间(只用于口令认证)。

0x02 访问控制


MySQL和PostgreSQL均可以实现访问控制功能。

(一)、MySQL数据库

MySQL权限系统通过两个阶段进行权限认证:

  1. 对连接的用户进行身份认证,合法的用户通过认证,不合法的用户拒绝连接;
  2. 对通过认证的合法用户赋予相应的权限,用户可以在这些权限范围内对数据库做相应的操作。MySQL中主要权限存储在MySQL系统库的user、host、db三个系统表中。这三个表中包括权限列,其中权限列包括普通权限和管理权限。普通权限主要用于数据库的操作,比如select_priv、create_priv等;而管理权限主要用来对数据库进行管理的操作,比如process_priv、super_priv等。表1说明了mysql权限系统表

当用户进行连接的时候,权限表的存取过程有以下两个阶段。

  1. 先从user表中的host、user和password这三个字段中判断连接的IP、用户名和密码是否存在于表中,如果存在,则通过身份验证,否则拒绝连接。
  2. 如果通过身份验证,则按照以权限表的顺序得到数据库权限:userdbtable_privcolumns_priv,即先检查全局权限表user,如果user中对应的权限为Y,则此用户对所有数据库的权限都为Y,将不再检查db, tables_priv,columns_priv;如果为N,则到db表中检查此用户对应的具体数据库,并得到db中为Y的权限;如果db中为N,则检查tables_priv中此数据库对应的具体表,取得表中的权限Y,以此类推。这几个权限表中,权限范围一次递减,全局权限覆盖局部权限。

通过上述介绍,可知在配置权限时需要根据数据库业务使用的情况配置合理的权限。

1)尽量最小化权限的配置,可以通过如下命令查看权限。

  • mysql> select * from mysql.user\G --检查用户权限列
  • mysql> select * from mysql.db\G --检查数据库权限列
  • mysql> select * from mysql.tables_priv\G --检查用户表权限列
  • mysql> select * from mysql.columns_priv\G --检查列权限列

2)业务系统在使用时,也可以通过视图控制对基础表的访问;

3)通过合理的权限配置进行访问控制外,还需要将DBA管理和应用账号严格分离,不同应用单独账号,删除数据库相关的历史操作记录,避免信息泄露。

4)对于MySQL数据库自身不具备强制访问控制(MAC),强制访问控制(MAC)是系统强制主体服从访问控制策略。与自主访问控制(DAC)基于系统实现身份认证及其到系统资源的介入授权方式,共同保证用户的权限。

a、创建系统表:为了实现可定制强制访问控制,需定义用户的强制访问权限管理表,系统需要对MySQL原有的数据字典进行改造[3],增加系统表。

b、修改用户认证逻辑 在sql_acl.cc中修改用户验证逻辑,检查强制访问权限管理表,是否符合用户认证要求。

(二)、PostgreSQL数据