跟我学，你的服务器安全吗？第二篇----数据库mysql安全篇

目录

前言      

本节为数据库(mysql)安全篇 

1.数据库登录弱口令(高危)

 2.确保没有用户配置了通配符主机名(高危)

3.为MySQL服务使用专用的最低特权账户(高危)

4.禁止使用--skip-grant-tables选项启动MySQL服务

5.禁用local-infile选项(高危)

6.删除'test'数据库(高危)

7.确保配置了log-error选项(高危)

8.确保log-raw选项没有配置为ON(高危)

9.匿名登录检查(高危)

10.禁用symbolic-links选项

11.确保MYSQL_PWD环境变量未设置(中危)

三：补充一个网站安全漏洞

---

前言      

      本文你千载难逢，因为这些东西是需要花钱的，真真实实需要在服务器上操作的，最实用的东西，汇聚着阿里云专家团的绝学和智慧，江湖最高绝学，绝对值得一学，每一个都是可以实战的，非常实用，怎么让你的服务器更安全？怎么避免攻击？这你不想学吗？这么实用的东西，确定不学？

       如果是让你做一个网站，或者写功能性代码，那么不管你写的多好多坏，哪怕你的代码不够优雅，但总而言之，言而总之，基础的功能实现还是没问题的，总是可以跑起来的，哪怕它跑的方式不够优雅，总之，在经过千难万难之后，你的代码大多数时候还是能跑起来的，但是，问题的关键来了，你的代码总是要上服务器的，而服务器我们一般用linux系统，那么我们的服务器配置安全吗？服务器怎么避免被攻击？就算你代码写的再好，安全到一点漏洞都没有，服务器被攻陷了，那代码不就全部都暴露了吗？

        所以服务器的安全至关重要，但又刚好是大家的弱项。

       为避免文章过长，同时查找起来也方便些，本系列共分为4篇，分别讲述centos系统安全，mysql数据库安全、apache应用服务器安全、tomcat安全，这是最常用的几个了。

       第一篇：服务器自身安全基线

跟我学，你的服务器安全吗？第一篇----centos系统安全篇_zhumengyisheng的博客-CSDN博客你的服务器够安全吗？是否经常被黑客攻击？网站怎么又被黑了？这可怎么搞啊？本文主要为服务器的自身安全问题，主要为linux的系统安全问题，本文使用的是centos系统https://blog.csdn.net/zhumengyisheng/article/details/121866485      第二篇：数据库安全基线(主要使用mysql数据库，即本节主要内容)

跟我学，你的服务器够安全吗？_zhumengyisheng的博客-CSDN博客这是一篇非常值得收藏的文章，你的服务器会天天被黑客攻击吧？那怎么防的住呢？怎能才能让服务器更安全呢？跟着我做吧！https://blog.csdn.net/zhumengyisheng/article/details/121865391     第三篇：apache服务安全

跟我学，你的服务器够安全吗？第三篇--apache安全_zhumengyisheng的博客-CSDN博客你的服务器是否安全？本文为apache基线安全检擦https://blog.csdn.net/zhumengyisheng/article/details/121866723    第四篇：tomcat服务安全

跟我学，你的服务器够安全吗？第四篇----tomcat安全基线检查_zhumengyisheng的博客-CSDN博客本文为tomcat相关基线检查和漏洞修复https://blog.csdn.net/zhumengyisheng/article/details/121866907       本系列将详细讲解服务器安全方面的问题，如果你用的是阿里云的服务器，那么阿里云有专门的安全中心可以提供检测，这是收费服务，如果你不是阿里云服务器，那么照着做，学习人家的配置自己的，让自己的服务器更安全。但是我推荐你最好用阿里云服务器，因为这些东西你修改后它会验证检测，同时告诉你是否还有什么问题，确保你的服务器各项配置安全准确。

       所以，如果你重视安全问题，害怕被攻击，那么本文不可多得，跟着做吧，但是最好还是买个阿里云服务器，它上面会指导你一项一项的做，防护好你的服务器安全。需要阿里云的话可以先领个红包，便宜些，腾讯云的话便宜的话也可以买，但是阿里云的安全服务很好，但是也是得花钱买才行，我觉得就是正式服务器买个阿里云的，测试机什么的腾讯云如果便宜的多的话也可以买腾讯云，省钱嘛。

      阿里云限量红包，速领。

阿里云限量红包https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=v6vhcyn8     腾讯云新用户专享

腾讯云优惠券_代金券_云服务器折扣券-腾讯云腾讯云优惠券,腾讯云代金券,腾讯云服务器折扣券https://cloud.tencent.com/act/vouchers/list?fromSource=gwzcw.2477393.2477393.2477393&utm_medium=cpc&utm_id=gwzcw.2477393.2477393.2477393&cps_key=b0c7af9380d6324294316347ba2c8a49    阿里云最新活动 

最新活动_阿里云最新活动，阿里云最全的优惠聚集地https://www.aliyun.com/activity?userCode=v6vhcyn8    阿里云腾讯云所有优惠汇总

浅谈VPS云服务器(内含神秘大额专属特惠)_zhumengyisheng的博客-CSDN博客怎么做一个网站？都需要什么？要个服务器？要个域名？去哪里买？哪个好啊？有优惠吗？所有的优惠都在这里了，给自己建个网站吧，毕竟要学以致用啊！https://blog.csdn.net/zhumengyisheng/article/details/121391896       好了，下面的资料都来自于这个云安全，是一些相关的建议，你可以根据这些建议，即使你不是用的阿里云，你也可以根据这些建议，加固你自己的服务器，确保你的服务器更加的安全，避免黑客攻击。

本节为数据库(mysql)安全篇 

1.数据库登录弱口令(高危)

数据库登录弱口令身份鉴别

描述

若系统使用弱口令，存在极大的被恶意猜解入侵风险，需立即修复。

加固建议

登录mysql数据库；
查看数据库用户密码信息：`SELECT user, host, authentication_string FROM user;` 部分版本查询命令为：`SELECT user, host, password FROM user;` 
根据查询结果及弱密码告警信息修改具体用户的密码：`SET PASSWORD FOR '用户名'@'主机' = PASSWORD('新密码');`
执行刷新命令：`flush privileges;` 

新口令应符合复杂性要求：

1、长度8位以上
2、包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%、@、^、&)
3、避免使用已公开的弱口令，如：abcd.1234 、admin@123等

 2.确保没有用户配置了通配符主机名(高危)

描述

避免在主机名中只使用通配符，有助于限定可以连接数据库的客户端，否则服务就开放到了公网

检查提示

--

加固建议

执行SQL更新语句，为每个用户指定允许连接的host范围。

1. 登录数据库，执行use mysql; ；
2. 执行语句select user,Host from user where Host='%';查看HOST为通配符的用户;
3. 删除用户或者修改用户host字段，删除语句：DROP USER 'user_name'@'%'; 。更新语句：update user set host = where host = '%';。
4. 执行SQL语句:

OPTIMIZE TABLE user;
flush privileges;

3.为MySQL服务使用专用的最低特权账户(高危)

使用最低权限账户运行服务可减小MySQL天生漏洞的影响。受限账户将无法访问与MySQL无关的资源，例如操作系统配置。

加固建议

使用非root和非sudo权限用户启动MySQL服务

4.禁止使用--skip-grant-tables选项启动MySQL服务

禁止使用--skip-grant-tables选项启动MySQL服务访问控制

描述

使用此选项，会导致所有客户端都对所有数据库具有不受限制的访问权限。

检查提示

--

加固建议

编辑Mysql配置文件/my.cnf，删除skip-grant-tables参数，并重启mysql服务

5.禁用local-infile选项(高危)

禁用local-infile选项访问控制

描述

禁用local_infile选项会降低攻击者通过SQL注入漏洞器读取敏感文件的能力

加固建议

编辑Mysql配置文件/my.cnf，在[mysqld] 段落中配置local-infile参数为0，并重启mysql服务：

local-infile=0

6.删除'test'数据库(高危)

删除'test'数据库服务配置

描述

测试数据库可供所有用户访问，并可用于消耗系统资源。删除测试数据库将减少MySQL服务器的攻击面。

加固建议

登录数据库执行以下SQL语句删除test数据库：

DROP DATABASE test;
flush privileges;

7.确保配置了log-error选项(高危)

确保配置了log-error选项安全审计

描述

启用错误日志可以提高检测针对mysql和其他关键消息的恶意尝试的能力，例如，如果错误日志未启用，则连接错误可能会被忽略。

加固建议

编辑Mysql配置文件/my.cnf，在[mysqld_safe] 段落中配置log-error参数，代表存放日志文件路径，如：/var/log/mysqld.log，并重启mysql服务：

log-error=

8.确保log-raw选项没有配置为ON(高危)

确保log-raw选项没有配置为ON安全审计

描述

当log-raw记录启用时，有权访问日志文件的人可能会看到纯文本密码。

检查提示

--

加固建议

编辑Mysql配置文件/my.cnf，删除log-raw参数，并重启mysql服务

9.匿名登录检查(高危)

匿名登录检查身份鉴别

描述

检查MySQL服务是否允许匿名登录

加固建议

登录MySQL数据库，执行以下命令删除匿名账户：

 delete from user where user='';
flush privileges;

10.禁用symbolic-links选项

禁用symbolic-links选项服务配置

描述

禁用符号链接以防止各种安全风险

检查提示

--

加固建议

编辑Mysql配置文件/my.cnf，在[mysqld] 段落中配置symbolic-links=0，5.6及以上版本应该配置为skip_symbolic_links=yes，并重启mysql服务。

11.确保MYSQL_PWD环境变量未设置(中危)

确保MYSQL_PWD环境变量未设置身份鉴别

描述

MYSQL_PWD环境变量的使用意味着MYSQL凭证的明文存储，极大增加MySQL凭据泄露风险。

检查提示

--

加固建议

删除系统环境变量中MySQL密码(MYSQL_PWD)配置

三：补充一个网站安全漏洞

1.如果你使用了discuz做网站，那么Discuz 3.4 wechat 插件越权登录漏洞（CVE-2018-20424）

​ 

解决方案为升级discuz到最新版，最新版已经解决了这个漏洞，参考资料

​

下一篇：apache服务安全

跟我学，你的服务器够安全吗？第三篇--apache安全_zhumengyisheng的博客-CSDN博客你的服务器是否安全？本文为apache基线安全检擦https://blog.csdn.net/zhumengyisheng/article/details/121866723

  如需实践，最好的选择是阿里云，买一个也不贵，实践实践，毕竟安全无小事，安全从来都是互联网企业的命脉，一旦被入侵，轻则信息泄露，重则所有服务瘫痪，所有服务器沦陷，所有服务都没了，所有信息没了，这是要出大事的。

   所以，懂安全的人的价值不言而喻，不用多说了吧？

   阿里云限量红包，速领。

阿里云限量红包https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=v6vhcyn8     腾讯云新用户专享

腾讯云优惠券_代金券_云服务器折扣券-腾讯云腾讯云优惠券,腾讯云代金券,腾讯云服务器折扣券https://cloud.tencent.com/act/vouchers/list?fromSource=gwzcw.2477393.2477393.2477393&utm_medium=cpc&utm_id=gwzcw.2477393.2477393.2477393&cps_key=b0c7af9380d6324294316347ba2c8a49    阿里云最新活动 

最新活动_阿里云最新活动，阿里云最全的优惠聚集地https://www.aliyun.com/activity?userCode=v6vhcyn8    阿里云腾讯云所有优惠汇总

浅谈VPS云服务器(内含神秘大额专属特惠)_zhumengyisheng的博客-CSDN博客怎么做一个网站？都需要什么？要个服务器？要个域名？去哪里买？哪个好啊？有优惠吗？所有的优惠都在这里了，给自己建个网站吧，毕竟要学以致用啊！https://blog.csdn.net/zhumengyisheng/article/details/121391896