9 mẹo bảo mật MySQL nâng cao

🤣😐🧐 MySQL là một trong những hệ thống quản lý cơ sở dữ liệu quan hệ phổ biến nhất, là giải độc đắc cho những kẻ tấn công cố gắng xâm nhập vào cơ sở dữ liệu. Máy chủ cơ sở dữ liệu MySQL mới được cài đặt có thể có nhiều lỗ hổng và sơ hở. Vì bảo mật dữ liệu có tầm quan trọng lớn nên bắt buộc phải hiểu mọi khía cạnh của bảo mật MySQL

🤣😐🧐 Bài viết này tập trung vào việc kiểm tra và bảo mật cơ sở dữ liệu MySQL của bạn, đồng thời cung cấp 9 mẹo để tăng cường bảo mật cho cơ sở dữ liệu đó

1. Tránh các khoản tài trợ đặc quyền không cần thiết

🤣😐🧐 MySQL cho phép một số câu lệnh đặc quyền mà khi được gán một cách không cần thiết cho người dùng có đặc quyền kém có thể dẫn đến việc đọc/ghi tệp và phá vỡ các đặc quyền của người dùng khác. Một số câu lệnh đặc quyền tiềm ẩn rủi ro nhất là FILE, GRANT, SUPER, ALTER, DELETE, SHUTDOWN, v.v. Bạn có thể đọc thêm về những điều này từ tài liệu chính thức của MySQL. Do đó, không gán các đặc quyền siêu người dùng như FILE, GRANT, SUPER và PROCESS cho các tài khoản không phải quản trị viên. Bạn có thể thu hồi các quyền toàn cầu, cơ sở dữ liệu và cấp bảng không cần thiết này như sau

REVOKEALLON *.* FROM 'user_name'@'host_name'; #Global privileges

REVOKEINSERT, UPDATE,DELETEON database_name.table_name FROM 'user_name'@'host_name'; #Table privileges
flushprivileges;

2. Hạn chế đăng nhập từ xa

🤣😐🧐 Truy cập từ xa giúp giảm bớt công việc của quản trị viên cơ sở dữ liệu, nhưng nó có nguy cơ khiến máy chủ gặp phải các lỗ hổng và hành vi khai thác tiềm ẩn. Bạn có thể vô hiệu hóa quyền truy cập từ xa cho tất cả các loại tài khoản người dùng MySQl bằng cách thêm biến bỏ qua kết nối mạng vào tệp cấu hình chính và khởi động lại dịch vụ

[mysqld]
skip-networking
sudo service mysql restart

🤣😐🧐 Tương tự, bạn phải vô hiệu hóa quyền truy cập tài khoản root, nếu không phải là tất cả để hạn chế đăng nhập từ xa tài khoản root. Biện pháp phòng ngừa này ngăn chặn việc bruteforcing tài khoản root MySQL

mysql> delete from mysql.user where user='root' and host not in ('localhost', '127.0.0.1', '::1'); mysql> flush privileges; 

3. Tắt chức năng (load_file, outfile, dumpfile)

🤣😐🧐 Một biện pháp phòng ngừa khác để bảo vệ MySQL khỏi việc tiêm tệp cục bộ là vô hiệu hóa các chức năng chỉ có thể truy cập thông qua đặc quyền cấp FILE. FILE là một tùy chọn cho phép người dùng có đặc quyền thấp với các tùy chọn lệnh chung để đọc hoặc ghi tệp trên máy chủ

• tải tập tin

🤣😐🧐 Hàm load_file tải nội dung tệp từ máy chủ dưới dạng chuỗi. Chẳng hạn, lệnh sau sẽ tải tất cả nội dung từ tệp /etc/passwd như sau

selectload_file('/etc/passwd')

• outfile

🤣😐🧐 Tương tự, hàm outfile ghi nội dung vào các tệp máy chủ cục bộ. Kẻ tấn công có thể sử dụng chức năng này để ghi tải trọng vào tệp trong máy chủ, như sau

select 'Local File SQL Injection' into outfile '/tmp/file.txt';
cat /tmp/file.txt

🤣😐🧐 Đầu ra

Local File SQL Injection

• tập tin dump

🤣😐🧐 Hàm này dùng nguyên nhân chọn để ghi vào file mà không trả kết quả ra màn hình

🤣😐🧐 Đầu ra

QueryOK, 1 rowaffected (0.001sec)

🤣😐🧐 Bạn có thể tắt các chức năng này bằng cách thu hồi đặc quyền FILE như sau

REVOKECREATE,DROPON database_name.* FROM 'user_name'@'host_name'; #Database privileges

🤣😐🧐 Liên quan. Hướng dẫn dành cho người mới bắt đầu về Metasploit trong Kali Linux (Có ví dụ thực tế)

4. Vô hiệu hóa cổng mặc định

🤣😐🧐 Chúng tôi biết rằng các dịch vụ MySQL chạy trên cổng 3306 và những kẻ tấn công sẽ quét các cổng để kiểm tra các dịch vụ đang chạy trên mạng. Để thêm bảo mật bằng cách che khuất và thay đổi cổng MySQL mặc định bằng cách chỉnh sửa biến hệ thống cổng trong tệp cấu hình chính của nó, bạn cần nhập thông tin sau

REVOKECREATE,DROPON database_name.* FROM 'user_name'@'host_name'; #Database privileges

5. Tránh ký tự đại diện trong tên tài khoản

🤣😐🧐 Tên tài khoản trong MySQL bao gồm 2 phần là user và hostname "user_name"@"host_name". Nó cho phép quản trị viên tạo tài khoản cho người dùng có cùng tên kết nối từ các máy chủ khác nhau. Tuy nhiên, phần máy chủ của tên tài khoản cho phép các quy ước ký tự đại diện có thể là một điểm truy cập vào cơ sở dữ liệu từ mọi nơi

🤣😐🧐 Việc sử dụng tùy chọn giá trị tên máy chủ hoặc địa chỉ IP tương đương với 'user_name'@'%' trong đó % khớp với mẫu MySQL khớp với thao tác LIKE và % có nghĩa là bất kỳ tên máy chủ nào. Trong khi đó, truy cập từ '192. 168. 132. %' có nghĩa là bất kỳ nỗ lực nào từ mạng lớp C. Ngoài ra, bất kỳ ai cũng có thể truy cập cơ sở dữ liệu bằng cách đặt tên phần máy chủ là '192. 18. 132. mysql. com'

🤣😐🧐 Để tránh những nỗ lực như vậy, MySQL cho phép xác định mặt nạ mạng với giá trị máy chủ để xác định các bit mạng của địa chỉ IP

REVOKECREATE,DROPON database_name.* FROM 'user_name'@'host_name'; #Database privileges

🤣😐🧐 Cú pháp tạo tên máy là host_ip/netmask

REVOKECREATE,DROPON database_name.* FROM 'user_name'@'host_name'; #Database privileges

🤣😐🧐 Giá trị máy chủ ở trên cho phép người dùng john truy cập cơ sở dữ liệu từ bất kỳ IP nào trong phạm vi 192. 168. 132. 0-192. 168. 132. 255. Tương tự, các giá trị máy chủ của 192. 168. 132. 0/255. 0. 0. 0, 192. 168. 132. 0/255. 255. 0. 0 sẽ cho phép các máy chủ từ mạng lớp A và B. Trong khi 192. 168. 132. 5 sẽ chỉ cho phép truy cập từ IP cụ thể

6. Vô hiệu hóa quyền truy cập rõ ràng

🤣😐🧐 Tên người dùng trong MySQL là tên mà cơ sở dữ liệu chấp nhận các kết nối đến hoặc tên người dùng trống "@"host_name" tạo người dùng ẩn danh. Tuy nhiên, sự hiện diện của một người dùng ẩn danh có thể thúc đẩy những kẻ tấn công truy cập vào máy chủ cơ sở dữ liệu. Bên cạnh đó, các phiên bản MySQL trước MySQL 5. 7, tạo một nhóm người dùng ẩn danh và cài đặt sau khi nâng cấp phiên bản vẫn thêm những người dùng này

REVOKECREATE,DROPON database_name.* FROM 'user_name'@'host_name'; #Database privileges

🤣😐🧐 Bạn có thể lưu ý rằng cột người dùng và mật khẩu trống và quyền truy cập bị giới hạn ở localhost. Tuy nhiên, bạn không muốn bất cứ ai truy cập vào cơ sở dữ liệu. Sử dụng lệnh sau để xóa người dùng ẩn danh

REVOKECREATE,DROPON database_name.* FROM 'user_name'@'host_name'; #Database privileges

7. Đặt tài khoản chưa root làm Chủ sở hữu hoặc Nhóm

🤣😐🧐 Đặt tài khoản người dùng không root không liên quan đến người dùng root MySQL. Cài đặt MySQL trong hệ thống Linux/Unix từ tar và tar. gói gz cho phép máy chủ chạy bởi bất kỳ người dùng có đặc quyền nào. Đây là một nhược điểm bảo mật vì bất kỳ người dùng nào có tùy chọn cấp FILE đều có thể chỉnh sửa hoặc tạo tệp tại máy chủ. Tuy nhiên, nó trả về lỗi khi người dùng cố gắng truy cập nó mà không có lỗi -user=root

🤣😐🧐 Bạn có thể tránh điều này bằng cách thực hành quy tắc ngón tay cái là truy cập máy chủ cơ sở dữ liệu với tư cách là một người dùng Linux riêng biệt. Để chạy mysqld với tư cách là người dùng Linux thông thường, hãy dừng máy chủ và thay đổi quyền đọc/ghi của máy chủ MySQl thành mysql, như sau

REVOKECREATE,DROPON database_name.* FROM 'user_name'@'host_name'; #Database privileges

🤣😐🧐 Mở tệp cấu hình chính của MySQL, thêm người dùng mysql mới và khởi động lại dịch vụ để tránh truy cập máy chủ không cần thiết

REVOKECREATE,DROPON database_name.* FROM 'user_name'@'host_name'; #Database privileges

8. Đặt mật khẩu cho tài khoản Root

🤣😐🧐 Cài đặt MySQL qua trình bao tương tác trong các bản phân phối Linux dựa trên Debian sẽ tạo tài khoản người dùng gốc và yêu cầu bạn đặt mật khẩu. Tuy nhiên, điều này không xảy ra trong cài đặt trình bao không tương tác và bản phân phối dựa trên Red-Hat. Như đã nêu ở trên, người dùng không phải root của máy Linux có thể truy cập tài khoản người dùng root mysql bằng cách sử dụng tùy chọn -user=root. Bạn có thể tránh điều đó bằng cách đặt mật khẩu như sau

REVOKECREATE,DROPON database_name.* FROM 'user_name'@'host_name'; #Database privileges

9. Đảm bảo mã hóa dữ liệu khi chuyển tiếp và khi nghỉ ngơi

🤣😐🧐 Giao tiếp mặc định không được mã hóa giữa máy khách và máy chủ có nguy cơ bị bất kỳ kẻ trung gian nào đánh cắp dữ liệu. Tương tự, dữ liệu người dùng không được mã hóa trong cơ sở dữ liệu sẽ gây rủi ro cho tính bảo mật và tính toàn vẹn của người dùng. MySQL hỗ trợ mã hóa dữ liệu giữa máy khách và máy chủ qua giao thức TLS/SSL, trong khi giao tiếp không mã hóa chỉ được chấp nhận khi cả hai bên giao tiếp nằm trong cùng một mạng

🤣😐🧐 MySQL hiện hỗ trợ mã hóa ở phần còn lại để bảo vệ dữ liệu được lưu trữ trong máy chủ ngay cả khi hệ thống bị xâm phạm

Bảo mật nâng cao MySQL. Tự bảo vệ mình

🤣😐🧐 Đảm bảo rằng bạn có mức bảo mật trực tuyến cao nhất là rất quan trọng và bài viết này sẽ cung cấp cho bạn một số gợi ý hữu ích để đi đúng hướng. Các bước trên rất hữu ích để bảo mật máy chủ cơ sở dữ liệu của bạn, nhưng học cách gán quyền tối thiểu cho người dùng không phải quản trị viên cũng rất cần thiết

Làm cách nào để làm cho cơ sở dữ liệu MySQL của tôi an toàn hơn?

Các tính năng bảo mật của MySQL là gì?

ACL trong MySQL là gì?

Làm cách nào để bảo mật MySQL trước những kẻ tấn công?