mariadb在Ubuntu上的安全策略主要包括以下几个方面:
安装和更新
基本安全配置
- 运行安全安装脚本:使用mysql_secure_installation脚本进行安全配置,包括设置或更改root用户的密码、删除匿名用户账户、禁止root用户远程登录、删除测试数据库、启用二进制日志、限制访问本地文件系统的权限。
- 修改配置文件:编辑mariadb的配置文件/etc/mysql/mariadb.conf.d/50-server.cnf,进行以下修改:
- 将bind-address从127.0.0.1注释掉或修改为0.0.0.0,以允许远程连接。
- 修改max_connections参数以增加最大连接数。
高级安全配置
- 启用ssl连接:配置SSL证书以加密客户端和服务器之间的通信。
- 配置防火墙:使用ufw防火墙工具,只允许必要的端口如ssh和http,并定期检查防火墙设置。
- 限制用户权限:创建新的数据库和用户,并赋予相应的权限,避免使用root账户进行日常操作。
系统安全加固
- 控制系统账户,除了root账户需要登录以外,其他账户应设置为禁止登录。
- 修改口令生存期,将口令生存期设置为最小,例如7天,以减少密码被猜测的风险。
- 设置口令复杂度,确保新建用户时输入的口令复杂程度,至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符。
- 限制登录超时,限制用户登录成功后的等待时间,无操作则断开连接,防止暴力破解。
- 修改SSH远程端口,修改SSH默认端口,以减少被自动扫描的风险。
- 禁用root登录,通过编辑/etc/ssh/sshd_config文件,将PermitRootLogin设置为no,禁止直接通过SSH登录root账户。
- 启用公钥登录,确保PubkeyAuthentication设置为yes,使用密钥对进行身份验证,提高安全性。
- 配置防火墙,使用ufw防火墙工具,只允许必要的端口如SSH和HTTP,并定期检查防火墙设置。
- 安装并配置Fail2Ban,防止暴力破解攻击。
定期审计和监控
- 通过检查系统日志、服务状态和安全工具,及时发现并解决潜在的安全问题。
请注意,安全性是一个持续的过程,需要不断地监控和更新。
