1、常规安全

在说审计之前我们先提一点一般我们常用的MySQL的安全注意事项。

  • 指定完善的MySQL安全流程
  • 用户授权邮件备注
  • 每个人对应权限均需留底
  • 所有用户非管理员及特殊账户,均精细化授权

2、sql审计

MySQL安全审计,对于小公司来说既没有数据库中间件平台,也没有SQL审计平台,那么如果做一个简单高性能的数据库审计呢?今日浏览global属性时发现 init_connect的属性,这个属性可以执行用户连接后做的操作,官方使用的autocommit 做的实例,而且可以支持动态修改。那我们是不是可以利用这个特性和binlog记录实践ID,审计所有人都做了在什么时间登录做了什么事情。

官方资料: https://dev.mysql.com/doc/refman/5.6/en/server-system-variables.html

此实验的难点:

  • 用户授权,所有用户及对该表有select,insert权限
  • 研究在主从情况模式下如何区分对待(级联)
  • 对链接的性能会有多大差距(主要针对非连接池或链接复用的情况下)

2.1 实验

创建存储用户数据的表

(root@localhost:mysql.sock) [(none)]>create database accesslog;

Query OK, 1 row affected (0.08 sec)

(root@localhost:mysql.sock) [(none)]>use accesslog

CREATE TABLE accesslog (`id` int(11) primary key auto_increment,

`thread_id` bigint COMMENT '线程ID',

`time` datetime COMMENT '时间',

`localname` varchar(100) COMMENT '连接的ID用户+地址',

`matchname` varchar(100) COMMENT '匹配到的用户ID');

创建所有需要监控的账号,给予INSERT权限

(root@localhost:mysql.sock) [accesslog]>select connection_id(), now(), user(), current_user();

+-----------------+---------------------+----------------+----------------+

| connection_id() | now()               | user()         | current_user() |

+-----------------+---------------------+----------------+----------------+

|               5 | 2017-06-20 09:02:12 | root@localhost | root@localhost |

+-----------------+---------------------+----------------+----------------+

1 row in set (0.05 sec)

想必大家看到如上信息,就明白了我们要干什么了,对吧。

那我们配置init_connect

SET GLOBAL init_connect='INSERT INTO accesslog.accesslog(thread_id,time,localname,matchname) values(connection_id(), now(), user(), current_user());';

接下来,见证奇迹的时刻到了

需要注意的就是,官方为了保证安全,有super权限的将not exec,原文如下(所以super。。。。):

For users that have the SUPER privilege, the content of init_connect is not executed. This is done so that an erroneous value for init_connect does not prevent all clients from connecting. For example, the value might contain a statement that has a syntax error, thus causing client connections to fail. Not executing init_connect for users that have the SUPER privilege enables them to open a connection and fix the init_connect value.

创建测试用户:

(root@localhost:mysql.sock) [(none)]>grant create ,drop, select ,insert, update on testdemo.* to evantest@'%' identified by '123';

Query OK, 0 rows affected, 1 warning (0.05 sec)

(root@localhost:mysql.sock) [(none)]>grant insert on accesslog.* to evantest@'%';

Query OK, 0 rows affected (0.00 sec)

测试效果

[root@MySQL-Node-07 mysql_test_data]# mysql -uevantest -p123

mysql: [Warning] Using a password on the command line interface can be insecure.

Welcome to the MySQL monitor.  Commands end with ; or \g.

Your MySQL connection id is 10

Server version: 5.7.18-log MySQL Community Server (GPL)

Copyright (c) 2000, 2017, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its

affiliates. Other names may be trademarks of their respective

owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

(evantest@localhost:mysql.sock) [(none)]>show databases;

+--------------------+

| Database           |

+--------------------+

| information_schema |

| accesslog          |

| testdemo           |

+--------------------+

3 rows in set (0.00 sec)

(evantest@localhost:mysql.sock) [(none)]>use testdemo

Database changed

(evantest@localhost:mysql.sock) [testdemo]>create table testtable(id int comment 'test');

Query OK, 0 rows affected (0.02 sec)

查看数据库:

(root@localhost:mysql.sock) [accesslog]>select * from accesslog;

+----+-----------+---------------------+--------------------+----------------+

| id | thread_id | time                | localname          | matchname      |

+----+-----------+---------------------+--------------------+----------------+

|  1 |         6 | 2017-06-20 09:06:32 | root@localhost     | root@localhost |

|  2 |        10 | 2017-06-20 09:17:35 | evantest@localhost | evantest@%     |

+----+-----------+---------------------+--------------------+----------------+

2 rows in set (0.00 sec)

查看执行了那些操作:

解析binlog

# at 2895

#170620  9:17:35 server id 1  end_log_pos 2926 CRC32 0x45ce5d15 	Xid = 67

COMMIT/*!*/;

# at 2926

#170620  9:18:02 server id 1  end_log_pos 2991 CRC32 0x86520809 	Anonymous_GTID	last_committed=11	sequence_number=12

SET @@SESSION.GTID_NEXT= 'ANONYMOUS'/*!*/;

# at 2991

#170620  9:18:02 server id 1  end_log_pos 3118 CRC32 0xf03899c0 	Query	thread_id=10	exec_time=0	error_code=0

use `testdemo`/*!*/;

SET TIMESTAMP=1497921482/*!*/;

create table testtable(id int comment 'test')

/*!*/;

SET @@SESSION.GTID_NEXT= 'AUTOMATIC' /* added by mysqlbinlog */ /*!*/;

DELIMITER ;

# End of log file

这样我们就可以通过线程ID + 时间锁定对应的人在对应的时间做了那些事情。

MySQL安全审计(init_connect)的更多相关文章

  1. MySql 性能调优策略

    本主题调优针对于my.cnf配置来做详细的参数说明 示例配置如下: #cat my.cnf # MySQL client library initialization. [client] port = ...

  2. 更改 AWS RDS mysql时区 -摘自网络

    AWS RDS AWS上搭建数据库的时候,不是DB on EC2就是RDS,但是选择RDS时,Timezone怎么处理? 「面向全球提供的AWS来讲理所当然的是UTC」,而RDS也不是例外.把服务器迁 ...

  3. linux MySQL5.7 rpm安装(转)

    删除旧包: # rpm -qa | grep -i mysql # rpm -ev mysql-libs-* --nodeps 安装rpm包: # rpm -ivh mysql-community-c ...

  4. 10-MySQlL DBA笔记-基础知识

    第四部分 运维篇 首先来了解一下数据库的定义,数据库是高效的.可靠的.易用的.安全的多用户存储引擎,我们可以通过它访问大量的持久化数据.我们管理和维护数据库,本质上也是要确保如上的特性,尽可能地保证数 ...

  5. Mysql-从库只读设置

    主从设置中,如果从库在my.cnf中使用init_connect来限制只读权限的话,从库使用非超级用户(super权限)登陆数据时,无法进行任何操作,仅可维持主从复制. init_connect='S ...

  6. CentOS7下Jumpserver V3.0 部署

    环境准备 # 准备一台 2核4G (最低)且可以访问互联网的 64 位 Centos 7 主机 [root@localhost ~]# hostnamectl --static set-hostnam ...

  7. mysql init_connect 参数的其他用处

    http://blog.itpub.net/133735/viewspace-691196/   init_connect 是可以动态在线调整的,这样就有了一些其他的用处 经过测试init_conne ...

  8. MySQL5.7 (审计)通过init_connect + binlog 实现MySQL审计功能

    转载自:https://blog.51cto.com/13941177/2173620 一.简介 1.概述 mysql本身已经提供了详细的sql执行记录–general log ,但是开启它有以下几个 ...

  9. mysql 5.7添加server_audit 安全审计功能

    mysql 5.7添加server_audit 安全审计功能 一.根据链接下载插件 参考链接下载  http://blog.itpub.net/31441024/viewspace-2213103 l ...

随机推荐

  1. 使用postman添加cookie失败和cookie消失问题

    例如 groupId=2; path=/; domain=.www.baidu.com; HttpOnly; Expires=Tue, 16 Jul 2019 03:42:12 GMT; 添加失败和c ...

  2. 二、集群配置SSH免密登录

    一.以3个几点为例,分别为master.slave01.slave02 1.分别生成自己节点密钥对 master: 创建dsa免密代码:ssh-keygen -t dsa -P '' -f ~/.ss ...

  3. 「译」Blazor VS React React / Angular / Vue.js

    原文作者: Christian Findlay 原文链接: https://christianfindlay.com/2020/06/04/blazor-vs-react-angular-vue-js ...

  4. java:原子类的CAS

    当一个处理器想要更新某个变量的值时,向总线发出LOCK#信号,此时其他处理器的对该变量的操作请求将被阻塞,发出锁定信号的处理器将独占共享内存,于是更新就是原子性的了. 1.compareAndSet- ...

  5. cornerstoneTools 作用,用法,api使用心得

    一.cornerstoneTools的用途 1.作用可以响应一些事件,例如鼠标按下的事件,鼠标滚轮的事件或按键或触摸事件 2.可以对视口进行缩放平移 3.可以在图像上绘制图形 4.可以在图像上绘制文本 ...

  6. yolov5实战之皮卡丘检测

    前言 从接触深度学习开始一直都做的是人脸识别,基本上也一直都在用mxnet. 记得之前在刚接触的时候看到博客中写到,深度学习分三个层次,第一个层次是分类,第二个层次是检测,第三个层次是分割.人脸识别算 ...

  7. Java类的加载过程-重点!!

    java类的加载过程有以下几步共同完成: 加载->连接->初始化.连接又分为验证.准备.解析 一个非数组类的加载阶段(加载阶段获取类的二进制字节流的动作)是可控性最强的阶段,这一步我们可以 ...

  8. maven 的安装与配置详细步骤

    1. 直接搜索maven 2. 进入后点击download界面,这时出现的是当前最新版本, 当然还有以前的版本可供下载 3. 下载解压到你指定的目录后,需要配置一下环境变量. a. 右键此电脑点击属性 ...

  9. Mybatis的CRUD 增删改查

    目录 namespace 命名空间 select insert update delete Mybatis 官网: https://mybatis.org/mybatis-3/zh/getting-s ...

  10. CS远控

    Cobaltstrike 一.基础使用 ./teamserver 192.168.43.224 123456 启动服务器端 在windows下的链接 双击bat文件即可 在linux下 ./start ...