MySQL实现身份鉴别的项目实践
前言
MySQL的身份鉴别是数据库安全的核心命题之一。在每日“拧螺丝”的工作中,我们的开发人员可能会忽略这个问题。正因如此,博主以这个契机,向大家做一次专题介绍。看过此文,相信你能够“上应付得了等保,下对得起公司”。
Q:如何保障MySQL数据库身份鉴别的有效性
提示:本文示例均已MySQL5.7为例,通过root用户执行相关命令。
如何保障MySQL数据库身份鉴别,有很多手段进行识别。博主通过SQL的方式,进行逐一介绍。
一、有效性检查
1. 用户唯一
检查授权的用户是否唯一:
SELECT USER, HOST FROM mysql.user;
2. 启用密码验证
检查PLUGIN是否包含*_password:
-- mysql_native_password,身份验证插件 SELECT USER, HOST, PLUGIN FROM mysql.user;
3. 是否存在空口令用户
检查authentication_string是否存在空值:
-- authentication_string,加密后密码,即执行password()后的值 SELECT USER, HOST, PLUGIN, authentication_string FROM mysql.user;
4. 是否启用口令复杂度校验
检查validate_password插件,是否已启用:
-- 如果为空,证明未启用该插件 SHOW VARIABLES LIKE 'validate%';
5. 是否设置口令的有效期
-- 默认0,永不过期 SHOW VARIABLES LIKE '%default_password_lifetime%';
6. 是否限制登录失败尝试次数
-- 如为空,代表未设置,可无限尝试 SHOW VARIABLES LIKE '%connection-control-failed-connections-threshold%';
7. 是否设置(超过尝试次数)锁定的最小时长
-- 如为空,代表未设置,永不锁定 SHOW VARIABLES LIKE '%connection-control-min-connection-delay%';
8. 是否设置保持登录的有效期
-- 默认0,代表永不退出登录 SHOW VARIABLES LIKE '%wait_timeout%';
二、应对方案
针对第一部分的有效性检查中,涉及不满足的配置项,我们可以通过以下措施加以弥补。
1. 空口令问题
如存在空口令,可通过root执行以下命令:
alter user [USER]@[HOST] identified by '[PASSWORD]';
2. 口令复杂度
如未启用口令复杂度,可能会遇到暴力 破 解,因此建议设置相关项。
2.1 安装插件
MySQL默认预留了口令复杂度插件:validate_password。我们只需要通过root用户安装即可:
INSTALL PLUGIN validate_password SONAME 'validate_password.so';
查看是否安装成功(如看到以下记录,代表成功):
SHOW VARIABLES LIKE 'validate%';
2.2 参数解释
为加深各位盆友的理解,博主对返回的参数加以说明。
2.2.1 validate_password_policy
MySQL的密码策略包含以下3种:
LOW 或 0代表密码必须满足指定长度。
MEDIUM 或 1(默认)代表密码必须至少包含1个大写字母、1个小写字母、1个数字和1个特殊字符。
STRONG 或 2在满足MEDIUM的基础上,不允许存储在字典文件(dictionary file)中。
2.2.2 配套参数
| 参数名称 | 用途 |
|---|---|
| validate_password_length | 定义密码长度,默认8位,适用于LOW 策略。 |
| validate_password_mixed_case_count | 定义大、小写字母的个数,默认1,适用于非LOW策略。 |
| validate_password_number_count | 定义数字的个数,默认1,适用于非LOW策略。 |
| validate_password_special_char_count | 定义特殊字符的个数,默认1,适用于非LOW策略。 |
2.3 调整参数
掌握了参数特征后,我们可以按需调整相关参数的值,以满足安全需要,执行命令如下:
--必须以root身份执行,且拥有super权限。 set global [具体参数名称]=[VALUE];
3. 口令有效期
如满足口令定期更换的安全要求时,必须设置口令的有效期:
-- 必须以root身份执行,设置有效期为90天 set global default_password_lifetime=90;
4. 设置登录失败处理
假如要求你限制登录失败的次数以及失败次数达到上限后锁定用户,你该怎么办?先不急,且听博主分解。
4.1 安装插件
满足上述要求,需要安装MySQL自带的插件:connection_control,命令如下:
-- 必须以root身份执行 INSTALL PLUGIN CONNECTION_CONTROL SONAME 'connection_control.so'; INSTALL PLUGIN CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS SONAME 'connection_control.so';
4.2 参数解释
| 参数名称 | 用途 |
|---|---|
| connection_control_failed_connections_threshold | 登录失败尝试次数,默认3,如0代表不限制。 |
| connection_control_max_connection_delay | 登录失败次数满后,再次响应的最大延迟时间(毫秒),建议默认 |
| connection_control_min_connection_delay | 登录失败次数满后,再次响应的最小延迟时间(毫秒)。 |
4.3 调整参数
掌握了参数特征后,我们同样可以按需调整相关参数的值,执行命令如下:
--必须以root身份执行,且拥有super权限。 set global [具体参数名称]=[VALUE];
5. 设置登录保持时间
设置保持登录的有效期,过期自动退出登录状态:
-- 必须以root身份执行,设置保持登录的有效期为1800秒 set global wait_timeout=1800;
结语
本文通过案例介绍的方式,针对MySQL不同的安全场景,制定差异化的解决办法。当然完成该过程离不开MySQL自带的插件或访问控制能力。
到此这篇关于MySQL实现身份鉴别的示例代码的文章就介绍到这了,更多相关MySQL 身份鉴别内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
这篇文章主要介绍了Mysql全文搜索对模糊查询的性能提升测试方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2023-08-08
mysql在使用的过程中,难免遇到数据库表误操作,下面这篇文章主要给大家介绍了关于Mysql通过ibd文件恢复数据的详细步骤,文中通过实例代码介绍的非常详细,需要的朋友可以参考下2022-06-06
mysql自增navicat_navicat如何设置主键自增
通过Navicat设置MySQL表的主键自增,步骤包括:打开Navicat连接数据库,选择表并设计,右击id字段设置为主键,然后勾选自动递增功能,这样每次插入新记录时,id字段都会自动递增2025-01-01
MySQL报错Lost connection to MySQL server&n
在确保网络没有问题的情况下,服务器正常运行一段时间后,数据库抛出了异常"Lost connection to MySQL server during query",本文将给大家介绍MySQL报错Lost connection to MySQL server during query的解决方案,需要的朋友可以参考下2024-01-01
在数据库管理中,数据操作语言(DML)和数据控制语言(DCL)是至关重要的概念,DML使我们能够对数据库中的数据进行增加、修改和删除操作,本文将深入探讨这两个关键领域的核心概念和操作方法,帮助您更好地理解和应用数据库管理技术2024-02-02
mysql 5.7.17 以及workbench安装配置图文教程
这篇文章主要为大家详细介绍了mysql 5.7.17 以及workbench安装配置图文教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2019-06-06
这篇文章主要为大家分享了CentOS 6.6下mysql 5.7.13winx64安装配置方法图文教程,感兴趣的朋友可以参考一下2016-09-09
Mysql中replace与replace into的用法讲解
今天小编就为大家分享一篇关于Mysql中replace与replace into的用法讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧2019-03-03
这篇文章主要介绍了关于Mysql搭建主从复制功能的步骤实现,在实际的生产中,为了解决Mysql的单点故障已经提高MySQL的整体服务性能,一般都会采用主从复制,需要的朋友可以参考下2023-05-05
用workbench导出mysql数据库关系图的解决方法,需要的朋友请往下阅读2013-03-03
最新评论