MongoDB
一 身份鉴别
MongoDB服务在安装后默认未开启权限验证,默认是空账户、空口令
mongod.cfg配置文件中修改auth=true,启用身份认证,执行命令mongo显示权限不足
自身不具备设置登录账户的口令复杂度和定期更换口令的策略,
仅通过管理员自行设置口令复杂度,use admin。
是否采用加密安全方式对系统进行远程管理
二 访问控制
show users”查看mongoDB中的账户的管理权限,
授予管理用户所需的最小权限,
实现管理用户的权限分离
mongoDB不存在默认账户, 应及时删除或停用多余的、过期的账户,避免共享账户的存在
访谈和查看管理员是否制定了访问控制策略;
use admin 启用身份鉴别,且具备权限分离
访问控制的粒度应达到主体为用户级或进程级
三安全审计
检查mongod.cfg配置文件中是否添加quiet: false,启用日志安全审计功能
检查mongod.log的日志文件记录是否正常:
访谈人员是否通过第三方工具(数据库审计系统)收集审计数据进行分析,查看是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
MongoDB数据库备份:
mongodump -h dbhost -d dbname -o dbdirectory
MongoDB数据库恢复:
mongorestore -h dbhost -d dbname --dir dbdirectory
集群部署、双机热备均可判定为符合。
检查数据库中是否存储个人信息,若有,检查个人信息保护机制和个人信息保护管理制度
五 入侵防范
最小安装原则
管理的管理终端进行限制
打开mongdb.cfg 看它的bindip。需要修改为指定连接
访谈管理员是否定期或不定期进行扫描或测试,若存在,是否及时进行修补。
a)应采用密码技术保证重要数据在传输过程中的完整性
TLS、SSH等协议
询问管理人员是否使用了第三方软件对数据库重要数据进行了完整性校验。
KingbaseES 人大金仓
1)KingbaseES 支持基于强化口令的身份鉴别
支持基于 Kerberos、Radius、LDAP 认证协议和CA等技术在内的与第三方身份认证
如果直接进入数据库则未对用户进行身份鉴别,判不符合;
如果无法登录则表明对用户进行了身份鉴别,则需要根据口令策略再进行判定。
通过插件的方式来进行登录失败处理管理,修改 kingbase.conf 文件中 shared_preload_libraries 参数后重启数据库。
1)是否采用加密等安全方式对系统进行远程管理是否用户都是localhost,全为localhost则为本地管理,可判定为不适用。
执行命令:”select * from sys_user;“或检查是否存在匿名用户。
安全审计
1)检查日志是否开启:
事务日志配置:
运行日志配置:
2)可检查日志文件记录是否正常:
执行日志:
会话日志:
init.log日志文件:
登录日志:
3)访谈管理员是否通过第三方工具(数据库审计系统)收集审计数据进行分析。
PostgreSQL
检查访问控制配置:SELECT * FROM pg_roles; SELECT * FROM pg_stat_user_tables;
执行more /var/lib/pgsql/data/pg_hba.conf;
查看文件允许管理员指定主机需要使用 SSL 加密的连接(hostssl)。客户端还可以指定它们只通过 SSL 连接到服务器TYPE:值为local和host, Local值表示为主机Socket连接,
host代表允许的主机地址连接DATABASE: 允许访问的数据库名,
all代表允许全部数据库USER: 表示允许哪个用户访问数据库,
all代表所有用户都可以访问
ADDRESS:
表示允许连接的主机信息查看身份鉴别配置:select * from pg_shadow;(select * from pg_catalog.pg_shadow);
查看登录超时配置:select * from pg_settings where ps.name like ‘timeout%’;查看密码算法配置:show password_encryption;检查SSL/TLS配置:SHOW ssl; SHOW ssl_cipher; SHOW ssl_cert_file; SHOW ssl_key_file;
执行more /var/lib/pgsql/data/postgresql.conf
查看ssl支持是否启动。(postgresql.conf文件目录有可能不一样)(/var/lib/pgsql/11/data/postgresql.conf)(pg_hba.conf文件目录有可能不一样)
检查远程访问权限:SELECT * FROM pg_hba_file_rules;检查日志记录配置:SHOW logging_collector; SHOW log_directory; SHOW log_filename; SHOW log_rotation_age; SHOW log_rotation_size;检查数据备份策略:SELECT * FROM pg_stat_bgwriter; SELECT * FROM pg_stat_replication;检查安全和补丁情况:SELECT version(); SELECT current_setting('server_version');检查系统监控和报警配置:SELECT * FROM pg_stat_database; SELECT * FROM pg_stat_activity;Oracle
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
sysdba是Oracle数据库的最高权限管理员。通常使用sqlplus或PL/SQL 管理软件进行管理,PL/SQL 为第三方管理软件,但SQL查询语句一样。
注:sysdba如果是本地管理,乱输密码也能登录成功,需要改sqlnet.ora文件。
- 管理员登录数据库时是是否需要输入用户名/口令,不存在空口令;
- 使用 Select username,account_status from dba_users; 显示所有能登录数据库的用户信息:(),那些是open那些是locked,UID是否唯一
\3. 通过命令 *select \ from dba_profiles where resource_type='password';或SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE='DEFAULT' AND RESOURCE_NAME='PASSWORD_VERIFY_FUNCTION';**如果为NULL则为未设置密码复杂度要求。
若有设置应为 (1)PASSWORD_LOGIN_ATTEMPTS = 登录尝试次数; (2)PASSWORD_LIFE_TIME = unlimited 未设置口令有效期; (3)PASSWORD_ROUSE_MAX = unlimited 未设置重新启用一个先前用过的口令前必须对该口令进行重新设置的次数(重复用的次数); (4)PASSWORD_VERIFY_FUNCITON = NULL,未设置口令复杂度校验函数; (5)PASSWORD_GRACE_TIME=,口令修改的宽限期天数:7;
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
1. 通过输入 SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE='DEFAULT' AND RESOURCE_NAME='FAILED_LOGIN_ATTEMOTS';,查询结果若为’UNLIMITED’则无登录重试次数限制,超过此值用户被锁定。可以通过ALTER PROFILE DEFAULT LIMIT FAILED_LOGIN_ATTEMPTS 10(重试次数10次)
二、访问控制
a) 应对登录的用户分配账户和权限;
通过输入Select username,account_status from dba_users;语句,主要查看数据库存在那些可用用户,至少得有两个,该测评项就需要Oracle中存在至少两个账户,且这两个账户的权限不一样。
1.为用户分配了账户和权限及相关设置情况,主要看可用账户(例如采用“用户权限列表”);
2.是否已禁用或限制匿名、默认账户的访问权限。如只有MGMT_UIEW,SYSTEM,SYS,DBSNMP为启用状态,其他均为启用状态,则为符合。
b) 应重命名或删除默认账户,修改默认账户的默认口令
在Oracle中默认用户最常用的就是SYS和SYSTEM这两个账户。
1.是否已经重命名SYS、SYSTEM、DBSNMP等默认帐户名或已修改默认口令,sys默认口令为CHANGE_ON_INSTALL;SYSTEM:MANAGER;DBSNMP的默认口令为:DBSNMP。可以登录测试。
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在
访谈管理员是否存在多余或过期账户,管理员用户与账户之间是否一一对应通过输入Select username,account_status from dba_users;查看是否存在默认帐户SCOTT/OUTLN/ORDSY等用户,不存在acount_status为expired的账户。访谈管理员是否存在共享账户等。示例不符合。
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离
1. 通过输入Select username,account_status from dba_users;查看状态为open的用户的用途。是否进行角色划分,是否有多个用户进行管理数据库;
2. 通过输入 select * from dba_tab_privs where grantee='SYS' ORDER BY GRANTEE;查看SYS最高权限授予给那些用户,得知管理用户的权限是否已进行分离;
MySQL
Windows主机测评Mysql基础命令
create USER 'new_user'@'localhost' IDENTIFIED BY 'password'; //创建用户
alter user 'root'@'%' identified with mysql_native_password by '********'; //修改密码
rename user 'root'@'%' to 'root'@'192.168.1.1'; //重命名
flush privileges; //刷新权限
grant all privileges on *.* to 'root'@'192.168.1.%'; //赋予权限
revoke all privileges on *.* to 'root'@'%'; //收回权限
select current_user(); //查看当前登录的用户
select current_role(); //查看当前登录的角
mysqldump -uroot -p mysql>mysql.sql //导出mysql数据库
create database xiaozhou_db; //创建xiaozhou数据库
show databases; //展示所有数据库
drop database xiaohzou_db; //删除数据库
alter user 'root'@'localhost' identified with mysql_native_password by 'xlpszqdbb'; //修改密码
show variables like 'port'; //查看端口ALTER USER 'existing_user'@'localhost' IDENTIFIED BY 'new_password';
show variables like 'validate%';show variables like '%connection_control%';show variables like ”%timeout%“一 身份鉴别
MySQL数据库对于用户的标识和其它数据库有些不一样,不仅仅是用户名,而是username + host。MySQL从5.7以上开始,密码字段不是password,而是authentication_string。
要满足密码复杂度必须在my.ini配置文件中安装plugin-load-add=validate_password.dll(Windows/Linux为plugin-load-add=validate_password.so)插件。
select * from mysql.`plugin`;//查看插件
install plugin validate_password soname 'validate_password.so';a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
1.提示输入口令鉴别用户身份
1)尝试登录数据库,**执行mysql -u root -p(linux下)查看是否提示输入口令鉴别用户身份。**此处直接使用navicat 进行管理。
mysql -h localhost -u root -p1232.查是否存在同名用户
select user, host FROM mysql.user结果输出用户列表,查者是否存在相同用户名。结果默认不存在同名用户。
-查询是否在空口令用户:
select * from mysql.user where length(password)= 0 or password is null或者
select user,authentication_string from user;mysql 5.7以上识别第二条命令)通过查看不存在空口令用户。
4)执行如下语句查看用户口今复杂度相关配置:
show variables like 'validate%';默认情况下未配置,为空。
要满足密码复杂度必须在my.ini配置文件中安装plugin-load-add=validate_password.dll(Windows/Linux为plugin-load-add=validate_password.so)插件。
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
登录失败功能也需要mysql安装connection_control.dll或者connection_control.so插件才能实现
1)询问管理员是否采取其他手段配置数据库登录失败处理功能。
2)执行show variables like '%connection_control%';或核查my.cnf或者my.ini文件,应设置如下参数:
max_connect_errors=100
validate_password_policy:密码安全策略,默认MEDIUM策略
validate_password_dictionary_file:密码策略文件,策略为STRONG才需要
validate_password_length:密码最少长度
validate_password_mixed_case_count:大小写字符长度,至少1个
validate_password_number_count :数字至少1个 validate_password_special_char_count:特殊字符至少1个- show variables like ”%timeout%“,查看返回值。默认Wait_ timeout: 一个连接connection空闲超过8个小时(默认值28800秒),MySQL 就会自动断开这个连接。默认不符合,时间太长。
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
1)是否采用加密等安全方式对系统进行远程管理
是否用户都是localhost,全为localhost则为本地管理。不适用。
2)若存在远程管理,执行
show variables like "%have_ssl%"者show variables like "%have_openssl%"
查看是否支持ssl的连接特性,若为disabled说明此功能没有激活,或执行\s查看是否启用SSL。
二、访问控制
a) 应对登录的用户分配账户
1)执行语句select user,host FROM mysql.user
输出结果结合访谈管理员是否存在网络管理员,安全管理员,系统管理员等多个账户,且分配了相应权限。
show grants for 'XXXX'@' localhost':查看其他管理员用户账号的权限,是否只存在特定用户如root 用户存在权限分配的权限。其他普通用户如test用户应无Grant option 权限。
2.是否存在多余的、过期的账户,避免共享账户
select user,accounted _lock from user;3.应授予管理用户所需的最小权限,实现管理用户的权限分离
select * from mysql.user如除root外,任何用户不应该有mysql库user表的存取权限,禁止将fil、process、 super权限授予管理员以外的账户
2)查看用户权限表,并验证用户是否具有自身角色外的其他用户的权限。输入select \* from mysql.user where user="用户名"。
4.访问控制策略规定主体对客体的访问规则
select * from mysql.user -检查用户权限列
select * from mysql.db --检查数据库权限
select * from mysql.tables_priv 一检查用户表权限列
select * from mysql.columns_priv-检查列权限列管理员
三 安全审计
1.开启安全审计功能
show global variables like '%general%'。默认为OFF,不符合。应设置为ON为开启审计。是否已开启审计general_log为ON。输入:select * from general_log;得知具体内容
2访谈是否存在第三方插件。
对于生产环境中任务繁重的MySOL数据库,启用审计会引起服务器的高昂成本,因此建议采用第三方数据库审计产品收集审计记录。
3.应对审计记录进行保护,定期备份
cp /var/log/audit/audit.log /path/to/backup/audit.log //手动备份gzip -c /var/log/audit/audit.log > /path/to/backup/audit.log.gz//压缩备份crontab 定时定期自动备份四 入侵防范
1.管理终端进行限制
user表中的Host值不为本地主机时,应指定特定IP地址,不应为%;
host表中指定用户帐户允许登陆访问的主机;在非信任的客户端以数据库账户登录应被提示拒绝,从其他子网登录,应被拒绝
GRANT ALL ON *.* TO 'root'@'myip.athome' //指定IP范问2.版本补丁情况
show variables where variable_name like "version"3.数据库定期漏扫
