CIS MySQL Server 5.6 安全基准解读

"CISMySQLServer5.6社区版安全基准v1.1.0，2016-08-15至2018-10-23的翻译版，由杭州汉领信息科技有限公司的汉武安全实验室完成。文档主要针对使用Oracle MySQL Enterprise Edition 5.7的系统和应用程序管理员、安全专家、审计员、技术支持人员和平台部署人员，旨在提供安全基线配置指导。内容遵循知识共享署名-非商业性使用-相同方式共享4.0国际许可协议。" 本文档的核心是为MySQL服务器的安全配置提供一套标准，以增强系统的安全性。它分为两个主要部分：操作系统级配置和安装与规划。 **操作系统级配置**： 这部分主要关注MySQL服务器在操作系统的层面上如何进行安全优化： 1. **存放系统库在非系统分区（Scored）**：推荐将MySQL的数据和日志文件存储在非系统分区，以减少因系统分区问题导致的服务中断，并增加数据安全性。 2. **为MySQL守护进程/服务使用专用最小特权帐户（Scored）**：使用专门的低权限用户账户运行MySQL服务，可以限制潜在攻击者对系统的访问权限，降低风险。 3. **禁用MySQL命令历史记录（Scored）**：不保存MySQL命令历史，防止敏感信息被泄露，提高隐私保护。 4. **验证“MYSQL_PWD”没有设置（Scored）**：确保环境中没有硬编码的密码，避免明文密码带来的安全风险。 5. **禁用交互式登录（Scored）**：限制交互式登录可以减少通过SSH等接口的直接访问，增加额外的安全屏障。 6. **验证用户配置文件中未设置“MYSQL_PWD”（Scored）**：检查所有用户配置文件，防止密码在配置文件中暴露，进一步强化安全。 **安装和规划**： 这部分涉及MySQL的安装过程和后续的维护策略： 1. **备份和恢复**：强调了备份的重要性，包括定期备份策略、验证备份完整性、安全存储备份凭据、物理保护备份介质以及支持时间点恢复的能力。 2. **备份策略（NotScored）**：建议制定定期、全面的备份计划，确保在发生问题时能够快速恢复。 3. **验证备份是否正常（NotScored）**：定期进行备份验证，确认备份文件可读且能够成功恢复数据。 4. **安全备份凭据（NotScored）**：备份过程中涉及的认证信息应妥善保管，避免未经授权的访问。 5. **应妥善保护备份（NotScored）**：备份数据应存放在安全的地方，防止物理损坏或被恶意访问。 6. **时间点恢复（NotScored）**：具备从特定时间点恢复数据库的能力，对于处理突发数据丢失或损坏至关重要。 遵循这些安全基线，可以显著提高MySQL服务器的防护能力，降低潜在的安全威胁。同时，应定期更新安全策略，以适应不断演变的威胁环境。