一、概述
系统等保要求,MySQL 数据库必须开启密码策略(复杂度)设置和安装审计插件。
数据库的密码复杂度设置从内部即可开启和设置,但是审计插件必须额外进行下载和安装。
二、MySQL 数据库密码策略(复杂度)设置
登录数据库,输入以下命令,检查当前密码策略情况。
show variables like 'validate_password%';
通过以下命令,可以修改策略值(例)。
set global validate_password_policy=0;
关于MySQL密码策略相关参数说明:
1)、validate_password_length 固定密码的总长度;
2)、validate_password_dictionary_file 指定密码验证的文件路径;
3)、validate_password_mixed_case_count 整个密码中至少要包含大/小写字母的总个数;
4)、validate_password_number_count 整个密码中至少要包含阿拉伯数字的个数;
5)、validate_password_policy 指定密码的强度验证等级,默认为 MEDIUM;
关于 validate_password_policy 的取值:
0/LOW:只验证长度;
1/MEDIUM:验证长度、数字、大小写、特殊字符;
2/STRONG:验证长度、数字、大小写、特殊字符、字典文件;
6)、validate_password_special_char_count 整个密码中至少要包含特殊字符的个数;
如果显示命令无效,则说明策略尚未开启,按照以下步骤操作,编辑配置文件 vim /etc/my.cnf,添加以下命令。
plugin-load=validate_password.so
重启服务,登录数据库,执行以下命令进行插件安装。
INSTALL PLUGIN validate_password SONAME 'validate_password.so';
再次重启服务,输入以下命令,检查当前密码策略情况。
show variables like 'validate_password%';
三、MySQL 审计插件
审计插件下载地址:https://bintray.com/mcafee/mysql-audit-plugin/release/1.1.6-784#files
下载文件:audit-plugin-mysql-5.7-1.1.6-784-linux-x86_64.zip
目录说明:lib -> libaudit_plugin.so、utils -> offset-extract.sh,用到这两个文件。
1. 查询数据库插件统一存放目录位置,将 libaudit_plugin.so 上传到目录下。
show global variables like 'plugin_dir';
2.来到 plugin 目录下对 so 文件授权。
chmod +x libaudit_plugin.so
chown mysql:mysql libaudit_plugin.so
3. 创建审计日志目录,并授权 mysql 用户操作权限,授权操作不执行会导致日志无法生成。
mkdir /usr/local/mysql/3306/audit_log/
chown mysql.mysql /usr/local/mysql/3306/audit_log/
4. 将 offset-extract.sh 脚本上传到服务器上,并授权。
chmod +x offset-extract.sh
5. 执行脚本运算,获取运算值。
./offset-extract.sh /usr/local/mysql/bin/mysqld
//offsets for: /usr/local/mysql/bin/mysqld (5.7.26)
{"5.7.26","454f8eee117882061d2a4ed575328a01", 7824, 7872, 3632, 4792, 456, 360, 0, 32, 64, 160, 536, 7988, 4360, 3648, 3656, 3660, 6072, 2072, 8, 7056, 7096, 7080, 13472, 148, 672},
6. 在 MySQL 配置文件中,配置以下命令。
plugin-load=AUDIT=libaudit_plugin.so
audit_offsets=7824, 7872, 3632, 4792, 456, 360, 0, 32, 64, 160, 536, 7988, 4360, 3648, 3656, 3660, 6072, 2072, 8, 7056, 7096, 7080, 13472, 148, 672 # 运算值,通过第五步得出
audit_json_file=ON
audit_json_log_file=/usr/local/mysql/3306/audit_log/mysql-audit.json # 日志目录
audit_record_cmds=insert,delete,update,create,drop,revoke,alter,grant,set # 针对这些语句来审计
7. 重启数据库服务,service mysql.server restart,输入以下命令查询插件安装情况。
show plugins;
查看插件版本。
show global status like 'AUDIT_version';
查看日志文件是否开启。
show global variables like 'audit_json_file';
*参数说明:
1. audit_json_file
#是否开启audit功能
2. audit_json_log_file
#记录文件的路径和名称信息
3. audit_record_cmds
#audit记录的命令,默认为记录所有命令可以设置为任意dml、dcl、ddl的组合 如:audit_record_cmds=select,insert,delete,update 还可以在线设置set global audit_record_cmds=NULL(表示记录所有命令)
4.audit_record_objs
#audit记录操作的对象,默认为记录所有对象,可以用SET GLOBAL audit_record_objs=NULL设置为默认。也可以指定为下面的格式:audit_record_objs=,test.*,mysql.*,information_schema.*。
8. 查看审计日志
cat /usr/local/mysql/3306/audit_log/mysql-audit.json
四、测试
这里直接引用测试即可,进入到 MySQL 命令行,执行语句。
CREATE TABLE `t1` ( `id` int(10) NOT NULL AUTO_INCREMENT, `age` tinyint(4) NOT NULL DEFAULT '0', `name` varchar(30) NOT NULL DEFAULT '', PRIMARY KEY (`id`) )DEFAULT CHARSET=utf8;
INSERT INTO `test`.`t1` (`age`, `name`) VALUES ('1', '1');
INSERT INTO `test`.`t1` (`age`, `name`) VALUES ('3', '3');
INSERT INTO `test`.`t1` (`age`, `name`) VALUES ('4', '4');
INSERT INTO `test`.`t1` (`age`, `name`) VALUES ('5', '5');
update t1 set name='6' where age='5';
delete from t1 where age='1'; select * from t1;
查看日志即可。
cat /usr/local/mysql/3306/audit_log/mysql-audit.json
五、参考文章
