当前位置 主页 > lliiuu.org >

MySQL和PostgreSQL数据库安全配置 shewey

作者:admin 来源:未知  点击:142
336*280广告

  针对开源数据库MySQL和PostgreSQL的安全配置主要主要通过身份鉴别、访问控制、安全审计、入侵防范、资源控制五个方面来实现。

  MySQL和PostgreSQL均可以实现身份鉴别功能。通过设置数据库基本上能够实现能够满足《信息系统安全等级保护基本要求》第三级身份鉴别中大部分要求,但是对于“f 项应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别”,需要使用第三方的身份鉴别技术,如:口令、数字证书、生物特征等2。

  MySQL数据库在安装后默认存在mysql数据库,该数据库为系统表所在的数据库,所有用户记录在mysql数据库的user三个权限表的用户列(包括host、user、password三个字段)。

  2)安全配置时尽量避免采用默认的用户名root,建议对默认用户名进行重命名,这样增加鉴别信息被猜测的难度;

  3)mysql数据库默认无法实现密码更改周期和密码复杂度要求,需要管理员定期更改口令的复杂度,可以通过如下命令设置密码;

  除了密码认证外,MySQL还支持UNIX域套接字,可以在配置文件中指定套接字文件的路径,如—socket=/tmp/mysql.sock,当数据库启动后可以使用UNIX套接字的方式进行认证。

  4)针对MySQL5以后的版本建议禁止使用old_password参数,old-passwords选项的目的是当服务器生成长密码哈希值时,允许你维持同4.1之前的客户端的向后兼容性。在MySQL4.1版本以后建议禁止使用该参数。

  5)MySQL数据库也支持SSL远程登录,如果采用本地管理方式则不需要考虑远程连接安全,如果采用远程管理则需要SSL支持。

  最后,MySQL数据库本身不支持登录次数限制,无法实现针对用户的锁定,具有登录的连接超时设置。

  PostgreSQL 支持丰富的认证方法:信任认证、口令认证、PAM认证等多种认证方式。PostgreSQL 默认配置只监听本地端口,无法通过远程TCP/IP连接数据库。需要修改f 中的 listen_address 字段修改监听端口,使其支持远程访问。例如listen\_addresses = *表示监听所有端口。

  对通过认证的合法用户赋予相应的权限,用户可以在这些权限范围内对数据库做相应的操作。MySQL中主要权限存储在MySQL系统库的user、host、db三个系统表中。这三个表中包括权限列,其中权限列包括普通权限和管理权限。普通权限主要用于数据库的操作,比如selectpriv、createpriv等;而管理权限主要用来对数据库进行管理的操作,比如processpriv、superpriv等。表1说明了mysql权限系统表

  先从user表中的host、user和password这三个字段中判断连接的IP、用户名和密码是否存在于表中,如果存在,则通过身份验证,否则拒绝连接。

  如果通过身份验证,则按照以权限表的顺序得到数据库权限:userdbtableprivcolumnspriv,即先检查全局权限表user,如果user中对应的权限为Y,则此用户对所有数据库的权限都为Y,将不再检查db, tablespriv,columnspriv;如果为N,则到db表中检查此用户对应的具体数据库,并得到db中为Y的权限;如果db中为N,则检查tables_priv中此数据库对应的具体表,取得表中的权限Y,以此类推。这几个权限表中,权限范围一次递减,全局权限覆盖局部权限。

  通过上述介绍,可知在配置权限时需要根据数据库业务使用的情况配置合理的权限。

  3)通过合理的权限配置进行访问控制外,还需要将DBA管理和应用账号严格分离,不同应用单独账号,删除数据库相关的历史操作记录,避免信息泄露。

  4)对于MySQL数据库自身不具备强制访问控制(MAC),强制访问控制(MAC)是系统强制主体服从访问控制策略。与自主访问控制(DAC)基于系统实现身份认证及其到系统资源的介入授权方式,共同保证用户的权限。

  a、创建系统表:为了实现可定制强制访问控制,需定义用户的强制访问权限管理表,系统需要对MySQL原有的数据字典进行改造[3],增加系统表。

  b、修改用户认证逻辑 在修改用户验证逻辑,检查强制访问权限管理表,是否符合用户认证要求。

  PostgreSQL将所有的数据库对象都存放在系统表空间,所有的系统表都以pg开头。PostgreSQL采用基于角色的访问控制机制,通过角色机制,简化了用户和权限的关联性。PostgreSQL系统中的权限分为两种:系统权限和对象权限。

  系统权限是指系统规定用户使用数据库的权限(如连接数据库、创建数据库、创建用户等),系统角色属性有LOGIN、PASSWORD、SUPERUSER、CREATEDB、CREATEROLE、INHERIT等。

  为了保护数据安全,当用户对某个数据库对象进行操作之前,必须检查用户在对象上的操作权限。访问控制列表(ACL)是对象权限管理和权限检查的基础,在PostgreSQL通过操作ACL实现对象的访问控制管理。所有表的基本定义保存在系统表pg_class中,除了包括表,视图、序列和索引(与其他许多系统不同,PG的索引也被视作一个类,事实上索引项无论在逻辑组成还是物理结构上都类似一个表的元组。)等对象的基本定义外,它的relacl属性中为每个对象维护一个ACL[5]。Relacl是PostgreSQL支持的数组属性,该数组成员是抽象的数据类型aclitem。这些aclitem作为对象访问控制权限的ACE(ACL是存储控制箱(Access Control Entruy,ACE)的集合,每个ACL实际上是一个由多个aclitem构成的链表,ACE由数据库对象和权限列表构成,记录着可访问兑现的用户或者执行单元(进程、存储过程等))共同组成对象的ACL。

  3) 通过合理的权限配置进行访问控制外,还需要将DBA管理和应用账号严格分离,不同应用单独账号,删除数据库相关的历史操作记录,避免信息泄露。

  4)对postgresql进行源代码修改以实现强制访问控制(MAC),SQL语句在经过DDL与DML处理时,需要进行MAC检查,通过检查的数据才能输出给用户,否则只能返回错误信息[5]。

  商业数据库均有安全审计功能,通过相关配置,能够对系统的重要事件进行安全审计目前MySQL数据库具有基本的日志功能,通过日志数据挖掘可以实现安全审计功能,但其实现起来较为复杂。PostgreSQL具备了良好的审计功能。

  MySQL日志主要包含:错误日志、查询日志、慢查询日志、二进制日志等,日志主要功能如下:

  错误日志:错误日志主要为了实现数据库排错。默认情况下错误日志大概记录以下几个方面的信息:服务器启动和关闭过程中的信息、服务器运行过程中的错误信息等跟系统错误有关的日志。

  查询日志:查询日志主要为了实现数据库调试。由于查询日志会记录用户的所有操作,其中还包含增删查改等信息,在并发操作大的环境下会产生大量的信息从而导致不必要的磁盘IO,会影响mysql的性能的。

  慢查询日志:慢查询日志是用来记录执行时间超过指定时间的查询语句。通过慢查询日志,可以查找出哪些查询语句的执行效率很低,以便进行优化。

  二进制日志:二进制日志也叫更新日志,主要用于记录修改数据或有可能引起数据改变的mysql语句,并且记录了语句发生时间、执行时长、操作的数据等等。

  通过上述描述可以看出,对于MySQL来说可以通过日志分析来实现数据库审计功能,但是这样的工作量对DBA来说比较繁琐,也不利于集中控制数据库产生的安全审计记录。MySQL企业级已经实现了针对MySQL的安全审计功能,但开源MySQL数据库没有实现安全审计功能。要实现MySQL数据库的安全审计功能,需要对MySQL源代码进行修改,目前已经有成熟的插件来实现MySQL数据库审计功能。

  审计是值记录用户的登录退出以及登录后在数据库里的行为操作,可以根据安全等级不一样设置不一样级别的审计。默认需设置具有如下的安全配置参数:

  其他任何用户都采用独立的账号登录,管理员通过mysql专有用户管理MySQL,或者通过su到mysql用户下进行管理。

  mysql用户目录下,除了数据文件目录,其他文件和目录属主都改为root。

  进制load data local文件读取操作的使用,避免读取操作系统的重要文件到数据库表中;

  在已有的生产库上建议进制使用safe-user-create参数的使用,避免用户使用grant语句创建新用户;

  严格控制数据库安装目录的权限,除了数据文件目录,其他文件和目录属主都改为root。

  MySQL中主要权限存储在MySQL系统库的user系统表的资源列中可以控制用户连接数、最大请求数、最大更新数、最大连接等信息。但最大用户连接数为较长用的资源控制项,其他选项需更具数据的使用情况进行安全配置。

  PostgreSQL对于资源限制主要体现在用户最大并发连接数的限制上。具体可以进行如下安全配置。

  1)postgresql数据库可以进行严格的地址限制,确保用户来源可信。

  【1】 《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》[ON/EL].

  【2】 邱梓华,宋好好,张笑笑,顾健,主机安全等级保护配置指南[J].信息网络安全,2011年增刊,112~113

  【3】 杨玉杰,韩昧华,王永刚,PostgreSQL的安全数据传输[J],聊城大学学报(自然科学版),第23卷第1期,89~90

  【4】 吴飞林,王晓艳,郎波,基于MySQL的可定制强制访问控制的研究与实现[J].计算机应用研究,第24卷第11期,119

  【5】 张孝,PostgreSQL中基于ACL的数据访问控制技术[J],计算机应用和软件,第24卷第9期,68

  【6】 刘欣,沈昌祥,基于PostgreSQL的强制访问控制的实现[J],计算机工程,第32卷第2期,50www.134499.netwww.456587.com

……
http://www.lliiuu.orgwww.lliiuu.com,六合网心水论坛,www.5050kj.com,5050开奖现场,www.50600.com,六合封神榜论坛,www.491678.comwww.lliiuu.com,六合网心水论坛,www.5050kj.com,5050开奖现场,www.50600.com,六合封神榜论坛,www.491678.com
关键词2| 香港正版马会生活幽默| 香港正版挂牌彩图正挂| 香港马会白小姐急旋风| 香港正版挂牌最新资料| 香港马会彩图最快更新| 一肖一码规律平特一肖| 香港财神到官方网提供| 澳门三合图库电脑版| 天下天空彩票与你同行|