首页 > 数据库> 文章详细

Linux Ubuntu 14 MySQL 密码策略（复杂度）和审计插件

2020-08-04 23:00:32 阅读：694 来源： 互联网

标签：audit 插件 plugin 复杂度 Linux mysql validate password

一、概述

系统等保要求，MySQL 数据库必须开启密码策略（复杂度）设置和安装审计插件。

数据库的密码复杂度设置从内部即可开启和设置，但是审计插件必须额外进行下载和安装。

二、MySQL 数据库密码策略（复杂度）设置

登录数据库，输入以下命令，检查当前密码策略情况。

show variables like 'validate_password%';

通过以下命令，可以修改策略值（例）。

set global validate_password_policy=0;

    关于MySQL密码策略相关参数说明：

    1）、validate_password_length 固定密码的总长度；

    2）、validate_password_dictionary_file 指定密码验证的文件路径；

    3）、validate_password_mixed_case_count 整个密码中至少要包含大/小写字母的总个数；

    4）、validate_password_number_count 整个密码中至少要包含阿拉伯数字的个数；

    5）、validate_password_policy 指定密码的强度验证等级，默认为 MEDIUM；

            关于 validate_password_policy 的取值：

            0/LOW：只验证长度；

            1/MEDIUM：验证长度、数字、大小写、特殊字符；

            2/STRONG：验证长度、数字、大小写、特殊字符、字典文件；

    6）、validate_password_special_char_count 整个密码中至少要包含特殊字符的个数；

如果显示命令无效，则说明策略尚未开启，按照以下步骤操作，编辑配置文件 vim /etc/my.cnf，添加以下命令。

plugin-load=validate_password.so

重启服务，登录数据库，执行以下命令进行插件安装。

INSTALL PLUGIN validate_password SONAME 'validate_password.so';

再次重启服务，输入以下命令，检查当前密码策略情况。

show variables like 'validate_password%';

三、MySQL 审计插件

审计插件下载地址：https://bintray.com/mcafee/mysql-audit-plugin/release/1.1.6-784#files

下载文件：audit-plugin-mysql-5.7-1.1.6-784-linux-x86_64.zip

目录说明：lib -> libaudit_plugin.so、utils -> offset-extract.sh，用到这两个文件。

1. 查询数据库插件统一存放目录位置，将 libaudit_plugin.so 上传到目录下。

show global variables like 'plugin_dir';

2.来到 plugin 目录下对 so 文件授权。

chmod +x libaudit_plugin.so
chown mysql:mysql libaudit_plugin.so

3. 创建审计日志目录，并授权 mysql 用户操作权限，授权操作不执行会导致日志无法生成。

mkdir /usr/local/mysql/3306/audit_log/
chown mysql.mysql /usr/local/mysql/3306/audit_log/

4. 将 offset-extract.sh 脚本上传到服务器上，并授权。

chmod +x offset-extract.sh

5. 执行脚本运算，获取运算值。

./offset-extract.sh /usr/local/mysql/bin/mysqld

//offsets for: /usr/local/mysql/bin/mysqld (5.7.26)
{"5.7.26","454f8eee117882061d2a4ed575328a01", 7824, 7872, 3632, 4792, 456, 360, 0, 32, 64, 160, 536, 7988, 4360, 3648, 3656, 3660, 6072, 2072, 8, 7056, 7096, 7080, 13472, 148, 672},

6. 在 MySQL 配置文件中，配置以下命令。

plugin-load=AUDIT=libaudit_plugin.so
audit_offsets=7824, 7872, 3632, 4792, 456, 360, 0, 32, 64, 160, 536, 7988, 4360, 3648, 3656, 3660, 6072, 2072, 8, 7056, 7096, 7080, 13472, 148, 672 # 运算值，通过第五步得出
audit_json_file=ON
audit_json_log_file=/usr/local/mysql/3306/audit_log/mysql-audit.json # 日志目录
audit_record_cmds=insert,delete,update,create,drop,revoke,alter,grant,set # 针对这些语句来审计

7. 重启数据库服务，service mysql.server restart，输入以下命令查询插件安装情况。

show plugins;

查看插件版本。

show global status like 'AUDIT_version';

查看日志文件是否开启。

show global variables like 'audit_json_file';

*参数说明：

1. audit_json_file 
#是否开启audit功能 

2. audit_json_log_file 
#记录文件的路径和名称信息 

3. audit_record_cmds 
#audit记录的命令,默认为记录所有命令可以设置为任意dml、dcl、ddl的组合 如：audit_record_cmds=select,insert,delete,update 还可以在线设置set global audit_record_cmds=NULL(表示记录所有命令) 

4.audit_record_objs
#audit记录操作的对象，默认为记录所有对象，可以用SET GLOBAL audit_record_objs=NULL设置为默认。也可以指定为下面的格式：audit_record_objs=,test.*,mysql.*,information_schema.*。

8. 查看审计日志

cat /usr/local/mysql/3306/audit_log/mysql-audit.json

四、测试

这里直接引用测试即可，进入到 MySQL 命令行，执行语句。

CREATE TABLE `t1` ( `id` int(10) NOT NULL AUTO_INCREMENT, `age` tinyint(4) NOT NULL DEFAULT '0', `name` varchar(30) NOT NULL DEFAULT '', PRIMARY KEY (`id`) )DEFAULT CHARSET=utf8; 
INSERT INTO `test`.`t1` (`age`, `name`) VALUES ('1', '1'); 
INSERT INTO `test`.`t1` (`age`, `name`) VALUES ('3', '3'); 
INSERT INTO `test`.`t1` (`age`, `name`) VALUES ('4', '4'); 
INSERT INTO `test`.`t1` (`age`, `name`) VALUES ('5', '5'); 
update t1 set name='6' where age='5'; 
delete from t1 where age='1'; select * from t1;

查看日志即可。

cat /usr/local/mysql/3306/audit_log/mysql-audit.json

五、参考文章

https://blog.51cto.com/13941177/2173086
https://www.cnblogs.com/hanxiaohui/p/9347767.html
吉安市属于哪个省？
云阳县属于哪个区

标签：audit,插件,plugin,复杂度,Linux,mysql,validate,password
来源： https://www.cnblogs.com/1994jinnan/p/13436878.html