等级保护测评之MySQL安全漏洞

这篇具有很好参考价值的文章主要介绍了等级保护测评之MySQL安全漏洞。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

近日公司客户要进行等保测评,查出来MySQL存在密码策略漏洞以及登陆失败处理漏洞,故针对这两个问题进行修复。

等级保护测评之MySQL安全漏洞

解决该问题需要安装mysql的两个插件: validate_password、connection_control.so
mysql>show plugins;                           --查看是否安装了插件
等级保护测评之MySQL安全漏洞

 我这里已经安装了对应的插件,如未安装,可执行下面方案中install命令进行安装文章来源地址https://www.toymoban.com/news/detail-421475.html

问题1 数据库密码安全策略
解决:安装validate_password
install plugin validate_password soname 'validate_password.so';
并调整如下策略参数:
validate_password_length=8        --密码最小长度为8
validate_password_mixed_case_count=1   --密码至少要包含的小写字母个数和大写字母个数 为1
validate_password_number_count=1      --密码至少要包含的数字个数 为1
validate_password_policy=1          --密码强度检查等级 1/MEDIUM
问题2 登录失败处理功能
解决:安装connection_control.so插件
install plugin connection_control soname "connection_control.so"; 
并调整如下策略参数:
Connection_control_failed_connections_threshold=5  --连续失败最大次数5次,0表示不开启
Connection_control_min_connection_delay=108000    --超过最大失败次数之后阻塞登录最小时间(毫秒)
变更过程为不停机变更:
1.修改配置文件my.cnf,在[mysqld]下面添加如上参数
2.动态修改全局配置
set global $参数名=$对应值;
show variables like 'validate%';              --查看当前策略配置是否生效
  等级保护测评之MySQL安全漏洞  
注:
MySQL5.6不建议开启密码安全策略,存在bug,举例如下:
默认安全策略如下,当要授权用户权限时,会一直报错密码不合规(实际上我得用户密码是合规的),对安全策略进行调整,设置最低,仍然会报错。
等级保护测评之MySQL安全漏洞
此时可以在线卸载validate_password插件
mysql> uninstall  plugin validate_password;

到了这里,关于等级保护测评之MySQL安全漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全岗位介绍——等级保护测评师

    1、什么是等保? 等保测评”全称是信息安全等级保护测评。是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。 2、为什么要进行等保测评? 等保测

    2024年02月09日
    浏览(54)
  • 网络安全等级保护测评规划与设计

    笔者单位网络结构日益复杂,应用不断增多,使信息系统面临更多的风险。同时,网络攻防技术发展迅速,攻击的技术门槛随着自动化攻击工具的应用也在不断降低,勒索病毒等未知威胁也开始泛滥。基于此,笔者单位拟进行网络安全等级保护测评,根据等保2.0的相关标准要

    2024年01月18日
    浏览(72)
  • 等级保护安全扩展要求测评对象分析汇总

    (1)安全扩展要求建议新增测评对象 新技术新应用 建议补充测评对象 云计算 -虚拟设备(包括虚拟机、虚拟网络设备、虚拟安全设备等) -云操作系统、云业务管理平台、虚拟机监视器 -云租户网络控制器 -云应用开发平台 移动互联 -无线接入设备工作环境 -移动终端、移动

    2024年04月13日
    浏览(32)
  • 等保测评2.0——网络安全等级保护测评的初步了解

    一、什么是网络安全等级保护测评? 二、网络安全等级保护,保护的是什么? 等级保护对象:网络安全等级保护工作直接作用的对象。(注:主要包括信息系统、通信网络设施和数据资源等) 计算机信息系统:由计算机及其相关的配合的设备、设施(含网络)构成的,按照

    2024年04月14日
    浏览(54)
  • 等级保护、风险评估和安全测评分别是什么?

    2022-06-17 15:17 迈入“等保2.0时代”以后,我国对于等级保护的要求更为严格和具体。等级保护、风险评估和安全测评这三个词,也因此总是出现在人们的视野之中,还总是被混淆。那这三者究竟分别是什么呢?如何区分它们?它们之间有什么联系吗?今天带大家一起来了解一

    2024年02月02日
    浏览(43)
  • 信息服务上线渗透检测网络安全检查报告和解决方案4(网站风险等级评定标准、漏洞危害分级标准、漏洞安全建议)

    信息服务上线渗透检测网络安全检查报告和解决方案3(系统漏洞扫描、相对路径覆盖RPO漏洞、nginx漏洞修复) 信息服务上线渗透检测网络安全检查报告和解决方案2(安装文件信息泄漏、管理路径泄漏、XSS漏洞、弱口令、逻辑漏洞、终极上传漏洞升级) 信息服务上线渗透检测网络安

    2024年02月12日
    浏览(43)
  • 网络安全等级保护测评:工作流程及工作内容

    **一、** 网络安全等级保护测评过程概述 网络安全等级保护测评工作过程包括四个基本测评活动: 测评准备活动、方案编制活动、现场测评活动、报告编制活动 。而测评相关方之间的沟通与洽谈应贯穿整个测评过程。每一项活动有一定的工作任务。如下表。 01 基本工作流程

    2024年02月06日
    浏览(51)
  • tiseaa 001-2020 网络安全等级保护测评高风险判定指引

    tiseaa 001-2020 网络安全等级保护测评高风险判定指引 对于《网络安全法》及其实施条例中规定的关键信息基础设施、网络运营者、网络产品和服务等,要进行等级保护测评。《网络安全等级保护测评管理办法》(CJJ 63-2018)规定,测评结果应根据风险等级划分为高、中、低三个

    2024年02月13日
    浏览(60)
  • 网络安全等级保护测评 S3A3 安全物理环境 详解_s2a3安全物理环境(1)

    测评要求 应用指南 ****a) 应将各类机柜、设施和设备等通过接地系统安全接地。 测评实施关注对象 机房内机柜、设施和设备接地情况 结果记录 经核查,XXX机房内机柜、设施和设备均已通过接地系统安全接地。 b ) 应采取措施防止感应雷,例如设置防雷保安器或过压保护装

    2024年04月15日
    浏览(44)
  • 腾讯EdgeOne产品测评体验——多重攻击实战验证安全壁垒:DDoS攻击|CC压测|Web漏洞扫描|SQL注入

    🌈你好呀!我是 是Yu欸 🌌 2024每日百字篆刻时光,感谢你的陪伴与支持 ~ 🚀 欢迎一起踏上探险之旅,挖掘无限可能,共同成长! 在一个阳光明媚的下午,我收到了一个特别的邀请:对腾讯云EdgeOne(简称EO),一款致力于提速和加强网站安全的边缘安全加速平台,进行深度

    2024年04月17日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包