2. 程式人生 > 實用技巧 >2.3.8 mysql安全之審計

2.3.8 mysql安全之審計

阿新 發佈:2020-09-12

6、 MySQL安全之審計管理

審計:記錄你的操作,方便以後查證據,但是生產環境資料庫本身不建議開啟,影響效能,但可以使用第三方審計

6.1 開源審計功能 mysql Audit Pluging

mysq15.7企業版自帶審計功能,需要付費社群版可以用開源的 mysqL Audit Pluging( McAfee提供的)下載地址:https://github.com/mcafee/mysql-audit
涉及引數:
audit_json_file = on
plugin-load = AUDIT=libaudit_plugin.so
audit_record_cmds = 'insert,delete,update,create,drop,alter,grant,truncate'
audit_json_log_file = /var/log/mysql/mysql-audit.json
audit_offsets = 7824, 7872, 3632, 4792, 456, 360, 0, 32, 64, 160, 536, 7988, 4360, 3648, 3656, 3660, 6072, 2072, 8, 7056, 7096, 7080, 13464, 148, 672
不設定 audit_record_cmds 引數,所有的DDL,DML全記錄

https://github.com/mcafee/mysql-audit
https://bintray.com/mcafee/mysql-audit-plugin/release/1.1.7-866https://bintray.com/mcatee/mysql-audit-plugin/releasehttps://github.com/mcafee/mysql-audit/wiki/Installation 
mysql root@localhost:auditdb> show global variables like 'plugin_dir';
+---------------+--------------------------+
| Variable_name | Value                    |
+---------------+--------------------------+
| plugin_dir    | /usr/lib64/mysql/plugin/ |
+---------------+--------------------------+
 

https://bintray.com/mcafee/mysql-audit-plugin/release#files/
wget https://bintray.com/mcafee/mysql-audit-plugin/download_file?file_path=audit-plugin-percona-5.7-1.1.7-866-linux-x86_64.zip
[root@elasticsearch 09]# unzip audit-plugin-percona-5.7-1.1.7-866-linux-x86_64.zip
cd audit-plugin-percona-5.7-1.1.7-866/lib/

[root@elasticsearch lib]# cp libaudit_plugin.so /usr/lib64/mysql/plugin/
[root@elasticsearch lib]# chmod +x /usr/lib64/mysql/plugin/libaudit_plugin.so
[root@elasticsearch lib]# service mysqld restart
Redirecting to /bin/systemctl restart mysqld.service


install plugin audit soname 'libaudit_plugin.so';


mysql root@localhost:(none)> show global status like 'AUDIT_version';
+---------------+-----------+
| Variable_name | Value     |
+---------------+-----------+
| Audit_version | 1.1.7-866 |
+---------------+-----------+
 


mysql root@localhost:(none)> show global variables like '%audit_json%';
+---------------------------------+----------------------------------------------------+
| Variable_name                   | Value                                              |
+---------------------------------+----------------------------------------------------+
| audit_json_file                 | ON                                                 |
| audit_json_file_bufsize         | 1                                                  |
| audit_json_file_flush           | OFF                                                |
| audit_json_file_retry           | 60                                                 |
| audit_json_file_sync            | 0                                                  |
| audit_json_log_file             | /var/log/mysql/mysql-audit.json                    |
| audit_json_socket               | OFF                                                |
| audit_json_socket_name          | /var/run/db-audit/mysql.audit__var_lib_mysql_33057 |
| audit_json_socket_retry         | 10                                                 |
| audit_json_socket_write_timeout | 1000                                               |
+---------------------------------+----------------------------------------------------+

mysql root@localhost:(none)> show global variables like '%plugin%';
+-------------------------------+--------------------------+
| Variable_name                 | Value                    |
+-------------------------------+--------------------------+
| audit_uninstall_plugin        | OFF                      |
| default_authentication_plugin | mysql_native_password    |
| plugin_dir                    | /usr/lib64/mysql/plugin/ |
+-------------------------------+--------------------------+

mysql root@localhost:(none)> show global variables like '%load%';
+------------------------------------+-------+
| Variable_name                      | Value |
+------------------------------------+-------+
| have_dynamic_loading               | YES   |
| innodb_buffer_pool_load_abort      | OFF   |
| innodb_buffer_pool_load_at_startup | ON    |
| innodb_buffer_pool_load_now        | OFF   |
| innodb_force_load_corrupted        | OFF   |
| preload_buffer_size                | 32768 |
| slave_load_tmpdir                  | /tmp  |
+------------------------------------+-------+


[root@elasticsearch lib]# yum install jq -y[root@elasticsearch lib]# cat /var/log/mysql/mysql-audit.json |jq
有bug
記錄建立建立開啟後,壓根沒有記錄建立的記錄

6.2 mysql 自帶的 init-connect + binlog 實現 MYSQL審計

my.cnf:init-connect

01.建立一個存放連線資訊的表
create database auditdb default charset utf8;

use auditdb

create table accesslog(
ID int primary key auto_increment,
ConnectionID int,
ConnUserName varchar(30), 
PrivMatchName varchar(30),
LoginTime timestamp
);
02.配置許可權
insert into mysql.db(host,db,user,select_priv,Insert_priv) values('%','auditdb','','Y','Y');
flush privileges;

03.配置init-connent
my.cnf

server-id=1
init-connect='insert into auditdb.accesslog (ConnectionID,ConnUserName,PrivMatchName,LoginTime) values(connection_id(),user(),current_user(),now());'
log_bin=/var/log/mysql/binlog
log_bin_index=/var/log/mysql/binlog.index

目錄許可權要對
[root@elasticsearch ~]# chown mysql.mysql /var/log/mysql/
[root@elasticsearch ~]# ls /var/log/mysqld.log  -l
-rw-r-----. 1 mysql mysql 458598 9月  12 19:17 /var/log/mysqld.log

mysql root@localhost:auditdb> create database test;
Query OK, 1 row affected
Time: 0.001s
mysql root@localhost:auditdb> drop database test;
You're about to run a destructive command.
Do you want to proceed? (y/n): y
Your call!
Query OK, 0 rows affected
Time: 0.001s


mysqlbinlog /var/log/mysql/binlog.000003


超級管理root 不會記錄日誌不記錄root使用者

相關推薦

2.3.8 mysql安全審計

6、 MySQL安全之審計管理審計:記錄你的操作,方便以後查證據,但是生產環境資料庫本身不建議開啟,影響效能,但可以使用第三方審計6.1 開源審計功能 mysql Audit Plugingmysq15.7企業版自帶審計功能,需要付費社群版

1.2.3 執行緒安全java鎖相關

鎖的概念 自旋鎖:為了不放棄CPU執行事件,迴圈的使用CAS技術對資料嘗試進行更新,直至成功。

1.2.1 執行緒安全可見性問題

多執行緒中的問題 所見非所得 無法肉眼去檢測程式的準確性 不同的執行平臺有不同的表現

2.3.4 mysql 使用者密碼管理

使用者密碼管理 修改使用者密碼 1)修改root密碼 A. mysqladmin mysqladmin -u root -h localhost -p password \'rootroot\'

松下釋出新款 TOUGHBOOK 33 三防筆記本:酷睿 10 代低壓 CPU,2.3 萬元起 - IT

2月18日訊息松下筆記本一直以來比較小眾,但一直以來專注以商用三防本的生產。昨日,松下更新了旗下 TOUGHBOOK 33 產品線,新筆記本將搭載英特爾 10 代酷睿低壓處理器,全部配置可在官網定製,售價 2.3 萬元起。

MySQL學習DQL(查詢語言1,23

一、DQL(查詢)   1.基礎查詢 # 進階1:基礎查詢 /* select 查詢內容(可以讀個) from 表名;

《十字軍3》大型DLC“皇家宮廷”發售日期確定 2022年28

Paradox Interactive宣佈《十字軍3》的大型DLC“皇家宮廷”將於2022年28日正式發售,同時官方還公佈了一段新的宣傳影片。

1.2.2 執行緒安全原子操作

競態條件與臨界區 共享資源 不可變物件 原子操作定義 原子操作可以是一個步驟,也可以是多個操作步驟,但是其順序不可以被打亂,也不可以被切割而只執行其中的一部分(不可中斷性)。

CentOS7.3mysql 8.0.13安裝配置方法圖文教程

一、基礎環境 1、作業系統:CentOS 7.3 2MySQL8.0.13 連結: https://pan.baidu.com/s/13-j_umr7eEnKFaugw4YTqQ 提取碼: 62yt

MySQL 8 新特性Invisible Indexes

背景 索引是把雙刃劍,在提升查詢速度的同時會減慢DML的操作。畢竟,索引的維護需要一定的成本。所以,對於索引,要加上該加的,刪除無用的。前者是加法,後者是減法。但在實際工作中,大家似乎更熱衷於前者,而很少

有一個分數序列,求出這個數列的前20項之和 2/1,3/2,5/3,8/5,13/8,25/13

有一個分數序列,求出這個數列的前20項之和。 \\(\\frac{2}{1}\\),\\(\\frac{3}{2}\\),\\(\\frac{5}{3}\\),\\(\\frac{8}{5}\\),\\(\\frac{13}{8}\\),\\(\\frac{25}{13}\\),...

3.2)表相關操作表的增刪改查

一、表介紹 表相當於檔案,表中的一條記錄就相當於檔案的一行內容,不同的是,表中的一條記錄有對應的標題,稱為表的欄位。

Web安全SQL Inject 2

union注入 SQL-Inject手動測試-基於union的資訊獲取 union聯合查詢:可以通過聯合查詢來查詢制定的資料

spring boot:actuator的安全配置:使用spring security做ip地址限制(spring boot 2.3.2)

一,actuator有哪些環節要做安全配置? actuator是應用廣泛的監控工具, 但在生產環境中使用時,需要做嚴格的安全保障,

spring boot:swagger3的安全配置(swagger 3.0.0 / spring security / spring boot 2.3.3)

一,swagger有哪些環節需要注意安全? 1,生產環境中,要關閉swagger application.properties中配置:

spring boot:用spring security加強druid的安全(druid 1.1.22 / spring boot 2.3.3)

一,druid的安全保障有哪些環節要注意? 1,druid ui的訪問要有ip地址限制 2,使用者必須要有相應的許可權才能訪問druid

spring boot:用spring security加強spring boot admin的安全(spring boot admin 2.3.0 / spring boot 2.3.3)

一,spring boot admin的安全環節: 1,修改context-path,預設時首頁就是admin, 我們修改這個地址可以更安全

spring boot:spring security用mysql資料庫實現RBAC許可權管理(spring boot 2.3.1)

一,用資料庫實現許可權管理要注意哪些環節? 1,需要生成spring security中user類的派生類,用來儲存使用者id和暱稱等資訊,

吳裕雄--天生自然ANDROID開發學習:2.4.8 ListViewcheckbox錯位問題解決

1.問題發生的原因: 這是網上找來的一幅關於ListView getView方法呼叫機制的一個圖

商超3.8元/罐:可口可樂&雪碧纖維+2.5元/罐大促

【活動今晚0點結束】 可口可樂&雪碧 纖維+ 330ml*12罐報價42.9元,下單立減3元,疊加限量10元券,實付29.9元包郵,領券併購買。