MySQL安全配置之审计和记录安全

1. 启用错误日志“log_error”

安全说明
错误日志包含有关事件的信息，例如mysqld启动和停止，何时需要检查和修复表，以及mysqld失败时堆栈跟踪。启用错误日志可以提高检测针对mysql和其他关键消息的恶意尝试的能力，如果没有启用错误日志，那么连接错误可能会被忽略。
检查方法

mysql> show variables like 'log_error';
+---------------+-----------------------------+
| Variable_name | Value                       |
+---------------+-----------------------------+
| log_error     | /data/mysql/logs/mysqld.log |
+---------------+-----------------------------+

确保返回值不为空。
配置方法

1. 打开MySQL配置文件my.cnf
2. 将log-error选项设置为错误日志的路径。

2. 设置日志文件存储在非系统分区上

安全说明
MySQL日志文件可以在MySQL配置中设置，以存储在文件系统的任何位置。通常应将日志文件存放在非系统分区上。
检查方法

mysql> select @@global.log_bin_basename;
+---------------------------+
| @@global.log_bin_basename |
+---------------------------+
| /data/mysql/data/binlog   |
+---------------------------+

确保返回的值不为root（‘/’）、/var或/usr。
配置方法

1. 打开MySQL配置文件my.cnf
2. 将log-bin选项设置为不在root（‘/’）、/var或/usr上的目录上。

3. 确保“log_error_verbosity”被设置为2或3

安全说明
log_error_verbosity系统变量决定MySQL日志中记录的内容。值为1表示仅记录错误消息，值为2表示记录错误和警告消息，值为3表示记录错误、警告和注释消息。随着级别的调整会记录更多信息，调整到2有助于通过日志追查安全问题。
检查方法

mysql> show global variables like 'log_error_verbosity';
+---------------------+-------+
| Variable_name       | Value |
+---------------------+-------+
| log_error_verbosity | 2     |
+---------------------+-------+

如果返回值是1需要调整到2。
配置方法
打开MySQL配置文件my.cnf，在mysqld部分中添加如下参数

log_error_verbosity=2

备注
8.0版本默认情况下，log_error_verbosity参数的值为2。

4. 启动审计日志记录 *设置“log_raw”为OFF

安全说明
log-raw选项决定服务器是否重写密码，以便不以纯文本形式显示在日志文件中。如果启用了log-raw，则密码将以明文形式写入各种日志文件（普通查询日志、慢查询日志和二进制日志）
检查方法
打开MySQL配置文件my.cnf，确定log-raw被设置为OFF
配置方法
1、打开MySQL配置文件my.cnf，在mysqld部分中添加如下参数

log-raw=OFF

2、重启mysql服务
备注
8.0版本默认情况下，log-raw选项的默认值为OFF。