MySQL安全配置之审计和记录安全

 

1. 启用错误日志“log_error”

安全说明
错误日志包含有关事件的信息,例如mysqld启动和停止,何时需要检查和修复表,以及mysqld失败时堆栈跟踪。启用错误日志可以提高检测针对mysql和其他关键消息的恶意尝试的能力,如果没有启用错误日志,那么连接错误可能会被忽略。
检查方法

mysql> show variables like 'log_error';
+---------------+-----------------------------+
| Variable_name | Value                       |
+---------------+-----------------------------+
| log_error     | /data/mysql/logs/mysqld.log |
+---------------+-----------------------------+

确保返回值不为空。
配置方法

  1. 打开MySQL配置文件my.cnf
  2. 将log-error选项设置为错误日志的路径。

 

2. 设置日志文件存储在非系统分区上

安全说明
MySQL日志文件可以在MySQL配置中设置,以存储在文件系统的任何位置。通常应将日志文件存放在非系统分区上。
检查方法

mysql> select @@global.log_bin_basename;
+---------------------------+
| @@global.log_bin_basename |
+---------------------------+
| /data/mysql/data/binlog   |
+---------------------------+

确保返回的值不为root(‘/’)、/var或/usr。
配置方法

  1. 打开MySQL配置文件my.cnf
  2. 将log-bin选项设置为不在root(‘/’)、/var或/usr上的目录上。

 

3. 确保“log_error_verbosity”被设置为2或3

安全说明
log_error_verbosity系统变量决定MySQL日志中记录的内容。值为1表示仅记录错误消息,值为2表示记录错误和警告消息,值为3表示记录错误、警告和注释消息。随着级别的调整会记录更多信息,调整到2有助于通过日志追查安全问题。
检查方法

mysql> show global variables like 'log_error_verbosity';
+---------------------+-------+
| Variable_name       | Value |
+---------------------+-------+
| log_error_verbosity | 2     |
+---------------------+-------+

如果返回值是1需要调整到2。
配置方法
打开MySQL配置文件my.cnf,在mysqld部分中添加如下参数

 

log_error_verbosity=2

备注
8.0版本默认情况下,log_error_verbosity参数的值为2。

 

 

4. 启动审计日志记录 *设置“log_raw”为OFF

安全说明
log-raw选项决定服务器是否重写密码,以便不以纯文本形式显示在日志文件中。如果启用了log-raw,则密码将以明文形式写入各种日志文件(普通查询日志、慢查询日志和二进制日志)
检查方法
打开MySQL配置文件my.cnf,确定log-raw被设置为OFF
配置方法
1、打开MySQL配置文件my.cnf,在mysqld部分中添加如下参数

log-raw=OFF

2、重启mysql服务
备注
8.0版本默认情况下,log-raw选项的默认值为OFF。

 

版权声明:
作者:SE_Ning
链接:https://www.cnesa.cn/914.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
打赏
海报
MySQL安全配置之审计和记录安全
  1. 启用错误日志“log_error” 安全说明 错误日志包含有关事件的信息,例如mysqld启动和停止,何时需要检查和修复表,以及mysqld失败时堆栈跟踪。启用错误日志可以提高检测针对mysql和其他关键消息的恶意尝试的能力,如果没有启用错误日志,那么连接错误可能会被忽略。 检查方法 mysql> show variables like 'log_error'; +---------------+-----------------------------+ | Variable_name | Value | +---------------+-----------------------------+ | log_error | /data/mysql/logs/mysqld.log | +---------------+-----------------------------+ 确保返回值不为空。 配置方法 打开MySQL配置文件my.cnf 将log-error选项设置为错误日志的路径。   2. 设置日志文件存储在非系统分区上 安全说明 MySQL日志文件可以在MySQL配置中设置,以存储在文件系统的任何位置。通常应将日志文件存放在非系统分区上。 检查方法 mysql> select @@global.log_bin_basename; +---------------------------+ | @@global.log_bin_basename | +---------------------------+ | /data/mysql/data/binlog | +---------------------------+ 确保返回的值不为root(‘/’)、/var或/usr。 配置方法 打开MySQL配置文件my.cnf 将log-bin选项设置为不在root(‘/’)、/var或/usr上的目录上。   3. 确保“log_error_verbosity”被设置为2或3 安全说明 log_error_verbosity系统变量决定MySQL日志中记录的内容。值为1表示仅记录错误消息,值为2表示记录错误和警告消息,值为3表示记录错误、警告和注释消息。随着级别的调整会记录更多信息,调整到2有助于通过日志追查安全问题。 检查方法 mysql> show global variables like 'log_error_verbosity'; +------------------……
<<上一篇
下一篇>>