网络安全等级保护测评-MYSQL篇

网络安全等级保护测评-MYSQL篇

一、身份鉴别

1、应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

测评方法如下：

1）使用如下命令查询账号select user, host，password from er；输出用户列表，查者是否存在相同用户名

2）执行如下语句查询是否在空口令用：

select * from er where length(password)= 0 or password is null；输出结果是否为空

3）(针对5.6.6之后版本)执行如下语句查看用户口今复杂度相关配置:

show variables like ‘validate_password%’;

注；MySQL过低版本不能进行密码复杂度配置，则关注当前口令复杂度策略，有些MySQL数据库password字段无效，需要替换为authentication_string

（1）.应对登录的用户进行身份标识和鉴别：MySQL身份鉴别通过username+host+password来进行登录验证，鉴别因素三者不能同时为空；（2）.实际口令组成情况和更换情况；MySQL口令复杂度策略配置（需使用validate_password插件）：

validate_password_check_user_name:OFF

validate_password_dictionary_file: 字典文件

validate_password_length:8 密码长度

validate_password_mixed_case_count:1 大小写

validate_password_number_count:1 密码中数据长度

validate_password_policy:1 or MEDIUM

validate_password_special_char_count:1 特殊字符

（3）.定期更换：一方面看实际口令更换周期，访谈，或查看user表中password_last_changed字段；

MySQL5.6.6开始，user表多了一个password_expired字段，默认为N，设置为Y 后，则通过定时器任务等方式来改密码；

从5.7.4版本开始，MySQL多了一个全局变量default_password_lifetime，可执行select global variables like ‘default_password_lifetime’;查看，并且user表增加了两个字段：password_lifetime、password_last_changed,可执行：select user,host,password,password_last_changed,password_expired from er;查看

对于default_password_lifetime和password_lifetime而言，值为0则代表有效期为永远，单位为天。

2、应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

测评方法如下：

1）.登录失败:执行show variables like ‘%max_connect_errors%’;查看max_connect_errors = 100；

执行show variables like ‘%timeout%’;返回值Wait_timeout=28800（秒）。