如何在安装MySQL 5时进行有效的基线检查？

MySQL5安装基线检查包括：最大连接数设置、最新补丁安装、避免弱口令、通配符主机信息检查、用户最小权限控制、不同用户不同账号配置、禁止远程下载文件、禁止使用旧密码等。

MySQL 5.7的安装基线检查是一个确保数据库系统在安全、性能和配置方面符合最佳实践的重要步骤，以下是详细的，包括关键检查项和实施步骤：

一、基线检查目标

通过在系统生命周期不同阶段对目标系统展开各类安全检查，找出不符合基线定义的安全配置项并选择和实施安全措施来控制安全风险，并通过对历史数据的分析获得系统安全状态和变化趋势。

二、适用版本

本基线检查适用于MySQL 5.7 Community Server社区版本。

三、基本安全配置

1、安装补丁

目的：确保数据库版本为最新并修复已知的安全破绽。

问题影响：系统存在严重的安全破绽，容易被破解攻击利用。

实施步骤：慎重对数据库系统打补丁，补丁安装应当先在测试机上完成，补丁安装可能导致系统或某些服务无法工作正常，在下载补丁包时，一定要对签名进行核实，防止执行特洛伊载入。

2、删除默认安装数据库test

说明：MySQL安装时默认创建一个测试数据库test，完全的空数据库，没有任何表，可以删除。

问题影响：测试数据库可以被所有用户访问，并且可以用来消耗系统资源，删除测试数据库将减少MySQL服务器的攻击面。

实施步骤：执行以下SQL语句以检查test数据库是否存在，如果存在则删除。

3、修改root用户名

说明：MySQL默认用户root应该修改名称，以减小攻击面。

问题影响：防止破解针对用户名进行密码猜测攻击。

实施步骤：执行SQL检查数据库是否有默认用户root，如果有返回行则需要修改。

4、MySQL操作系统账号权限最小化

说明：MySQL在操作系统上的账号权限最小化有助于减小MySQL数据库破绽造成的影响。

问题影响：防止破解利用MySQL破绽载入操作系统，造成更大损失。

实施步骤：创建一个仅用于运行MySQL和直接相关进程的用户。

5、禁止MySQL链接历史记录

说明：MySQL会把客户端登陆的交互执行记录保存在.mysql_history文件中，该记录有可能会暴露登陆过程中的敏感信息，建议删除该记录。

实施步骤：检查.mysql_history文件是否存在，如果存在则删除，并创建链接防止其再次生成。

6、禁止MYSQL_PWD的使用

说明：MYSQL_PWD是一种用于存储mysql密码的环境变量，以明文形式存储mysql密码，存在安全隐患。

问题影响：存在安全隐患。

实施步骤：对使用MYSQL_PWD环境变量变量的脚本和进程，建议不在使用该环境变量。

7、禁止MySQL操作系统账号登陆

说明：MySQL做系统账号在安装完数据库后，不应该有其他用途，建议禁止该账号登陆操作系统。

问题影响：此举在防止破解利用MySQL数据库破绽反射shell有极佳效果。

实施步骤：执行下列语句禁止mysql登陆。

8、更改MySQL默认端口

说明：使用默认端口，会更容易被破解在网络中发现数据库。

问题影响：改成非默认端口可以减少被攻击的风险。

实施步骤：编辑MySQL配置文件my.cnf，更改端口号并重启MySQL服务。

9、限制用户权限

说明：只给用户必要的权限，避免给用户过多的权限。

问题影响：降低因用户权限过大而带来的安全风险。

实施步骤：定期审查用户权限，确保每个用户只有其完成任务所需的最低权限。

四、性能指标检查

1、查询当前活动连接数

SQL语句：SHOW STATUS LIKE ‘Threads_connected’;

说明：这个查询帮助我们监控当前连接到数据库的线程数。

2、查询执行情况

SQL语句：SHOW STATUS LIKE ‘Questions’;

说明：这个查询可以查看总共执行了多少个查询，帮助你评估数据库的使用情况。

五、安全性检查

1、列出所有用户及其连接权限

SQL语句：SELECT host, user FROM mysql.user;

说明：你需要确保没有不必要的高权限用户。

2、检查审计日志策略（仅适用于企业版）

配置项：audit_log_connection_policy, audit_log_exclude_accounts, audit_log_include_accounts, audit_log_policy, audit_log_statement_policy, audit_log_strategy等。

六、生成报告（可选）

经过上述步骤，你已经搜集了足够的数据来对系统的健康状态进行评估，你可以将这些信息整理成报告，以下是一个简单的Python脚本示例，可以将查询结果写入文件：

import mysql.connector
连接数据库
db = mysql.connector.connect(
    host="localhost",
    user="your_username",
    password="your_password",
    database="your_database"
)
cursor = db.cursor()
执行查询
queries = [
    "SELECT VERSION();",
    "SHOW VARIABLES;",
    "SHOW STATUS LIKE 'Threads_connected';",
    "SHOW STATUS LIKE 'Questions';",
]
results = {}
for query in queries:
    cursor.execute(query)
    results[query] = cursor.fetchall()
写入报告
with open("database_baseline_report.txt", "w") as f:
    for query, result in results.items():
        f.write(f"
Query: {query}
Result: {result}
")
关闭连接
cursor.close()
db.close()

七、FAQs

Q1: 如何更改MySQL的默认端口？

A1: 编辑MySQL配置文件my.cnf，找到port项并将其值更改为你想要的端口号，然后重启MySQL服务即可，将端口号更改为3307：

[mysqld]
port=3307

然后重启MySQL服务：sudo service mysql restart。

Q2: 如何限制MySQL用户的远程登录？

A2: 可以通过修改MySQL用户表中的host字段来限制用户的远程登录，要禁止用户username从任何远程主机登录，但允许其从本地登录，可以执行以下SQL语句：

UPDATE mysql.user SET host='localhost' WHERE user='username' AND host<>'%';
FLUSH PRIVILEGES;

这将把用户的host字段设置为localhost，从而禁止其从远程主机登录，同时需要刷新权限使更改生效。