Центр знаний DevOps
Центр знаний DevOps

Лучшие практики по усилению конфигураций безопасности сервера MySQL

Защитите свои критически важные развертывания MySQL с помощью этого подробного руководства по основным лучшим практикам усиления безопасности. Узнайте, как реализовать надежное управление пользователями и доступом, защитить сетевые соединения с помощью брандмауэров и SSL/TLS, точно настроить `my.cnf` для оптимальной безопасности и применить защиты на уровне ОС. Откройте для себя практические советы по настройке и действенные шаги по снижению распространенных уязвимостей, предотвращению несанкционированного доступа и обеспечению целостности и конфиденциальности вашей базы данных. Обязательно к прочтению для всех, кто отвечает за безопасность MySQL.

26 просмотров

Рекомендации по усилению безопасности конфигураций сервера MySQL

MySQL является краеугольным камнем для бесчисленного множества приложений, обеспечивая работу всего, от небольших блогов до массивных корпоративных систем. Его популярность, хотя и свидетельствует о его надежности и гибкости, также делает его частой мишенью для злоумышленников. Неправильно настроенный или незащищенный сервер MySQL может стать серьезной уязвимостью, раскрывая конфиденциальные данные и предоставляя ворота для несанкционированного доступа ко всей вашей инфраструктуре. Защита вашего развертывания MySQL — это не разовая задача, а постоянное обязательство, требующее бдительности и соблюдения лучших практик безопасности.

В этой статье представлено исчерпывающее руководство по основным советам по настройке и мерам по усилению безопасности. Мы углубимся в различные уровни безопасности, от управления пользователями и защиты сети до корректировок конфигурационных файлов и рекомендаций по операционной системе. Применяя эти рекомендации, вы можете значительно уменьшить поверхность атаки вашего сервера MySQL и создать более устойчивую среду базы данных против распространенных уязвимостей и попыток несанкционированного доступа.

1. Управление пользователями и доступом: Принцип наименьших привилегий

Эффективное управление пользователями является основой безопасности MySQL. Предоставление пользователям только тех разрешений, которые им абсолютно необходимы, имеет первостепенное значение.

Создание отдельных пользователей для отдельных приложений

Избегайте использования пользователя root для подключений приложений. Вместо этого создайте выделенных пользователей с гранулированными разрешениями.

CREATE USER 'my_app_user'@'localhost' IDENTIFIED BY 'StrongPassword123!';
GRANT SELECT, INSERT, UPDATE, DELETE ON `your_database`.* TO 'my_app_user'@'localhost';
FLUSH PRIVILEGES;

Обеспечение надежных паролей

Надежные, уникальные пароли — ваша первая линия обороны. Используйте встроенный плагин проверки паролей MySQL, если он доступен.

  • Сложность: Комбинируйте заглавные, строчные буквы, цифры и символы.
  • Длина: Стремитесь к длине не менее 12–16 символов.
  • Уникальность: Никогда не используйте пароли повторно.
  • Ротация: Внедрите политику регулярной смены паролей.

Вы можете включить компонент validate_password (MySQL 8.0+) или плагин (MySQL 5.7+):

INSTALL COMPONENT 'file://component_validate_password';
-- OR for older versions
INSTALL PLUGIN validate_password SONAME 'validate_password.so';

-- Configure strength policy (e.g., MEDIUM for 8+ chars, mix case, numbers, special)
SET GLOBAL validate_password.policy = MEDIUM;
SET GLOBAL validate_password.length = 12;

Удаление пользователей по умолчанию и неиспользуемых пользователей

MySQL поставляется с пользователями по умолчанию (например, root@localhost). Хотя root@localhost необходим, убедитесь, что у него надежный пароль. Важно удалить или защитить других пользователей по умолчанию, таких как mysql.session, mysql.sys, и анонимного пользователя, если они явно не требуются и не настроены должным образом.

-- To identify anonymous users:
SELECT user, host FROM mysql.user WHERE user = '';
-- To drop an anonymous user (if found):
DROP USER ''@'localhost';

-- To remove test databases (if they exist):
DROP DATABASE IF EXISTS test;
DELETE FROM mysql.db WHERE Db='test' OR Db='test\_%';
FLUSH PRIVILEGES;

Ограничение доступа по хосту

Ограничьте учетные записи пользователей, чтобы они могли подключаться только с определенных IP-адресов или имен хостов. Избегайте использования % в качестве подстановочного знака для хоста, если это не является абсолютно необходимым и не сопровождается другими строгими мерами контроля безопасности.

-- User can only connect from localhost
CREATE USER 'admin'@'localhost' IDENTIFIED BY 'AnotherStrongPass!';

-- User can only connect from a specific IP address
CREATE USER 'backup_user'@'192.168.1.100' IDENTIFIED BY 'BackupPass!';

Осторожность с GRANT OPTION

Предложение WITH GRANT OPTION позволяет пользователю предоставлять свои собственные привилегии другим пользователям. Это может представлять значительный риск безопасности, если оно предоставлено ненадежным пользователям. Используйте его редко и только для административных учетных записей, которые действительно нуждаются в этой возможности.

-- A user with ability to grant privileges (use with extreme caution)
GRANT ALL PRIVILEGES ON *.* TO 'superadmin'@'localhost' IDENTIFIED BY 'SuperAdminPass!' WITH GRANT OPTION;

2. Сетевая безопасность: Изоляция вашей базы данных

Средства контроля на сетевом уровне критически важны для предотвращения несанкционированного внешнего доступа к вашему серверу MySQL.

Настройка брандмауэров

Разрешайте подключения к порту MySQL по умолчанию (3306) только с доверенных IP-адресов или сетей. Блокируйте все остальные входящие подключения к этому порту.

Пример (UFW в Linux):

sudo ufw enable
sudo ufw allow from 192.168.1.0/24 to any port 3306
sudo ufw deny 3306
sudo ufw status

Пример (CentOS/RHEL с firewalld):

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="3306" protocol="tcp" accept'
sudo firewall-cmd --permanent --remove-port=3306/tcp --zone=public # Ensure it's not open globally
sudo firewall-cmd --reload

Защищенные подключения с помощью SSL/TLS

Шифруйте весь трафик между клиентами и сервером MySQL с использованием SSL/TLS, чтобы предотвратить прослушивание и атаки типа «Человек посередине» (MitM). Это особенно важно для подключений через недоверенные сети.

Чтобы включить SSL/TLS, вам обычно необходимо сгенерировать SSL-сертификаты и ключи, а затем настроить ваш my.cnf:

# my.cnf
[mysqld]
ssl_ca=/etc/mysql/certs/ca.pem
ssl_cert=/etc/mysql/certs/server-cert.pem
ssl_key=/etc/mysql/certs/server-key.pem

Затем клиенты должны быть настроены на подключение с использованием SSL/TLS, часто с помощью REQUIRE SSL в операторе GRANT пользователя:

CREATE USER 'ssl_user'@'%' IDENTIFIED BY 'SSLUserPass!';
GRANT SELECT ON `your_database`.* TO 'ssl_user'@'%' REQUIRE SSL;
FLUSH PRIVILEGES;

Привязка к конкретным IP-адресам

По умолчанию MySQL может прослушивать все доступные сетевые интерфейсы (0.0.0.0). Ограничьте его прослушивание только теми интерфейсами, которые должны принимать подключения (например, localhost для локальных приложений или частный сетевой IP-адрес для внутренних подключений).

# my.cnf
[mysqld]
bind-address = 127.0.0.1  # For local connections only
# OR
bind-address = 192.168.1.10  # For a specific internal IP

Совет: Если ваше приложение и сервер MySQL находятся на одной машине, bind-address = 127.0.0.1 (localhost) — это самый безопасный вариант, поскольку он полностью предотвращает любые внешние подключения.

3. Усиление конфигурационного файла (my.cnf / my.ini)

Конфигурационный файл MySQL (my.cnf в Linux, my.ini в Windows) предлагает многочисленные параметры для повышения безопасности.

Отключение неиспользуемых функций

Минимизируйте поверхность атаки, отключив функции, не требуемые для вашего развертывания.

  • local_infile = 0: Запрещает клиентам запрашивать у сервера загрузку данных из произвольных файлов на хосте сервера. Это распространенный вектор для эксфильтрации данных.
    ini [mysqld] local_infile = 0
  • skip-networking: Если доступ к вашей базе данных осуществляется только приложениями на том же сервере, полностью отключите работу с сетью. Это заставит все подключения использовать сокет Unix или именованные каналы.
    ini [mysqld] skip-networking
  • symbolic-links = 0: Запрещает использование символических ссылок для табличных пространств базы данных, что может быть использовано для доступа к файлам за пределами каталога данных MySQL.
    ini [mysqld] symbolic-links = 0
  • secure_file_priv: Ограничивает каталоги, из которых могут быть прочитаны и в которые могут быть записаны файлы функциями, такими как LOAD DATA INFILE и SELECT ... INTO OUTFILE.
    ```ini
    [mysqld]
    secure_file_priv = "/var/lib/mysql-files" # Set to a specific, restricted directory
    # OR
    # secure_file_priv = "