DB_BASELINE 主要用于数据库的配置项的基线检查。
该文档主要描述了 DB_BASELINE 的使用方法以及检测脚本的编写规范,编写规范检测脚本适用于后期导入 SYSLOG,SOC 等
支持的数据库:MySQL
检测内容包括:
账号权限
- 检查运行数据库的账号,
- 数据库里面各个权限账号
- 检查方向:是否有过多的不必要的权限
- 用专有的低权限账号去启动数据库,而不是用 root
- 数据库账号不要空密码连接
- 删除或者修改默认账号
- 只有 DBA 拥有所有权限,其余各个数据库有专门的对应的数据库的账号
- 数据库的账号要限制 IP 连接
- …
网络连接
- 端口
- 连接类型
- 检查方向:主要用于检查数据库的端口,对外的开放的程度,连接的安全性等等
- 端口改掉默认端口
- 如果提供对外访问 那么网络传输使用 SSL 或者其他加密的协议
文件安全
- 配置文件
- 日志文件
- 审计文件
- 备份文件
- 检查方向:主要检查文件权限是否配置准确
- 配置文件,日志文件等应只有数据库账号可以访问
- 限制数据库账号访问其他目录或者对其他目录有写的权限
- …
数据库配置的属性
- 配置文件
- 可以执行的函数
- 检查方向:潜在隐患的配置属性
- 危险函数禁止执行
- 执行系统命令
- 读取文件
- 写入文件
- 导入导出
- …
- 安全配置是否开启
- 日志文件是否开启
- 审计文件是否开启
- 错误日志是否开启
- 密码复杂度
- 过期账号处理
- 危险函数禁止执行
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 dacker1993@gmail
