Как настроить безопасность сервера MySQL (часть 1)

Как настроить безопасность сервера MySQL - 2 часть

Представим вполне практическую ситуацию – в нашей сети есть некий сервер с работающим инстансом СУБД MySQL, который требуется защитить от реальных и потенциальных угроз. С чего начать наш комплекс мер?
Верно – с защиты операционной системы.

Шифровка данных файловой системы выполняется, обычно, через встроенный механизм LUKS. Конечно, для многих проектов сервера с БД могут быть расположены в супер-безотказном облаке, осевшем на сверх-защищенных физических серверах в датацентрах – для многих, но не для всех.
ПО для мониторинга изменений системных файлов, такое как Tripwire, также не будет лишним – на случай подмены злоумышленником каких-то библиотек на зараженные/модифицированные версии
все сетевые порты сервера, которые не используются – должны быть закрыты через фаерволл
Конечно же, вы помните о том, что пароль root-а и других привилегированных пользователей должны быть действительно сильными? Напоминаем так, на всякий случай.
служебные и “отключенные” пользователи должны иметь nologin или /bin/false в качестве оболочки для входа в систему
сканер rootkit-ов, работающий по расписанию
настройка SELinux или AppArmor

Теперь переходим к собственно MySQL.

Надежный пароль для root-а – необходимость!

mysql&amp;amp;gt; UPDATE mysql.users SET Password=password(‘my_strong_password’) WHERE User=’root’;

Если среди пользователей есть анонимные, удалим их на всякий случай:

mysql&amp;amp;gt; DELETE FROM mysql.users WHERE User='';

Суперпользователь MySQL-я не должен иметь доступа к серверу по сети:

mysql&amp;amp;gt; DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');

Завершим операции обновлением пользовательских привелегий:

mysql&amp;amp;gt; FLUSH PRIVILEGES;

Многие из этих действий выполняются скриптом mysql_secure_installation, будет не лишним запустить его еще разик для подстраховки:

sudo mysql_secure_installation

после чего дать осмысленные ответы на вопросы, задаваемые в процессе выполнения скрипта (практически на все ответ будет “yes”).

Переходим к настройкам в конфигурационном файле MySQL:

vim /etc/mysql/my.cnf

Запретим сетевые подключения к СУБД отовсюду, кроме локального сервера:

bind-address = 127.0.0.1

Если в дальнейшем доступ по сети таки понадобится, будем делать это через SSH-тоннель.

Рекомендуется также отключить возможность загрузки локальных файлов для всех пользователей, у кого нет прав для этого на уровне файловой системы (файлов базы данных):

local-infile=0

Проверим такую важную опцию, как местоположение лог-файла:

log=/var/log/mysql_log

Символические ссылки также рекомендуется отключить из соображений безопасности:

symbolic-links = 0

Естественно, каталог с файлами логов и ошибок MySQL не должен быть доступен на чтение никому, кроме администратора MySQL. Проверим это:

ls -l /var/log/mysql*

(продолжение читать здесь)

Освоить все премудрости тюнинга MySQL (и других популярных СУБД) вы можете на курсе “L2-DB. Администрирование баз данных на Linux”, ну а досконально изучить защиту Ваших серверов и сети – на курсе “L2-Security. Безопасность в Linux“.