Полное руководство по обеспечению безопасности сервера MySQL

MySQL — одна из самых популярных в мире систем управления базами данных с открытым исходным кодом. На ней работают многие веб-приложения и сайты, которые мы используем каждый день. Однако, как и любая другая мощная технология, MySQL может быть уязвима, если ее не защитить должным образом. Взломанный сервер MySQL может привести к утечке конфиденциальных данных, повреждению баз данных и даже выводу из строя целых веб-сайтов или приложений.

К счастью, MySQL предлагает надежный набор функций безопасности, которые, при правильном использовании, могут защитить ваши базы данных от большинства угроз. В этом подробном руководстве мы рассмотрим все основные шаги, которые необходимо предпринять, чтобы заблокировать MySQL и сохранить ваши данные в безопасности.

1. Используйте надежные пароли

Первый шаг безопасности очень прост, но очень важен — всегда используйте надежные, сложные пароли для учетных записей администраторов MySQL. Избегайте простых или легко угадываемых паролей.

Несколько советов по созданию лучших паролей для MySQL:

Минимум 12 символов в длину
Смесь прописных и строчных букв, цифр и символов
Избегайте словарных слов и личной информации
Не используйте пароли для нескольких учетных записей
Рассмотрите возможность использования менеджера паролей для создания и хранения паролей

Также настоятельно рекомендуется избегать использования стандартной учетной записи root и вместо этого создавать дополнительные учетные записи администратора с надежными паролями.

Кроме того, не запускайте сервер MySQL в качестве корневого пользователя операционной системы — создайте для этого отдельную учетную запись пользователя MySQL.

2. Ограничение удаленного доступа

По умолчанию MySQL прослушивает соединения на порту 3306 с любого хоста. Это может оставить ваш порт MySQL открытым для атак.

Лучший подход — разрешать соединения только с доверенных узлов, которым нужен доступ к MySQL. Вот несколько способов ограничить удаленный доступ:

Привязка к определенным IP-адресам

В конфигурационном файле MySQL (my.cnf) укажите директивы bind-address, чтобы ограничить прослушивание одного или нескольких IP-адресов в вашей частной сети:

bind-address=192.168.1.101
bind-address=127.0.0.1

Это заставит MySQL слушать только определенные IP-адреса.

Разрешить доступ только через VPN

Если ваши удаленные клиенты подключаются через VPN, вы можете настроить MySQL на разрешение соединений только из IP-подсети VPN-туннеля.

Использование брандмауэров

Правила брандмауэра обеспечивают еще один уровень контроля над удаленным доступом. Например, с помощью iptables в Linux вы можете разрешить соединения только с указанных IP-адресов.

Главное — ограничить соединения только доверенными IP-адресами клиентов, которым действительно нужен доступ к MySQL.

3. Используйте безопасные соединения

По умолчанию MySQL небезопасно передает данные в виде обычного текста. Чтобы зашифровать соединения, необходимо включить Transport Layer Security (TLS).

Существует несколько способов реализации TLS:

Применять TLS для конкретных пользователей

В MySQL предоставьте учетной записи пользователя разрешение на подключение через TLS:

mysql> GRANT USAGE ON *.* TO 'mysqluser'@'192.168.1.101' REQUIRE SSL;

Это требует от указанного пользователя подключения с использованием шифрования TLS.

Включить TLS на сервере MySQL

Чтобы сделать TLS обязательным для всего сервера MySQL, отредактируйте конфигурацию MySQL:

[mysqld]
ssl-ca=/path/to/ca.pem
ssl-cert=/path/to/server-cert.pem 
ssl-key=/path/to/server-key.pem
require_secure_transport=ON

Перезапустите MySQL, и теперь все клиентские соединения будут использовать TLS.

Использование туннелирования SSH

Другой вариант — туннелирование соединения с MySQL через SSH, который шифрует весь трафик. Например:

$ ssh -L 3307:127.0.0.1:3306 [email protected] -N -f

Затем вы можете локально подключиться к туннелю на порт 3307.

4. Улучшение безопасности аутентификации

Использование только паролей для аутентификации в MySQL имеет некоторые недостатки. Дополнительные плагины аутентификации могут еще больше ограничить доступ:

Требование двухфакторной аутентификации

Активируйте плагин MFA для учетных записей:

mysql> CREATE USER 'jeffrey'@'192.168.1.101' IDENTIFIED WITH authentication_ldap_simple
  AS 'secretPassword';
mysql> ALTER USER 'jeffrey'@'192.168.1.101' 
  REQUIRE TWO_FACTOR AUTHENTICATION 
  VIA one_time_password;

Теперь для входа в систему потребуется ввести как пароль, так и одноразовый код.

Использование аутентификации LDAP

С помощью плагина AUTHENTICATION_LDAP_SIMPLE MySQL может аутентифицировать пользователей извне по LDAP-каталогу.

Использование сертификатов SSH

Плагин AUTHENTICATION_LDAP_SIMPLE позволяет проверять клиентов по сертификатам SSH, а не по паролям.

Используйте плагин FAILED_LOGIN_ATTEMPTS, чтобы заблокировать учетную запись после определенного количества неудачных попыток входа, что препятствует атакам грубой силы.

Требуйте надежные пароли

Плагин VALIDATE_PASSWORD может обеспечить соблюдение таких требований, как длина, сложность, срок действия и история паролей.

5. Реализация ролевого управления доступом

MySQL включает в себя надежную систему разрешений. Вместо того чтобы предоставлять глобальные привилегии, вы должны реализовать контроль доступа на основе ролей (RBAC) для более детального контроля.

Например, административные задачи могут быть разделены на такие роли, как:

Администратор базы данных — CREATE, ALTER, DROP, BACKUP
Разработчик приложений — SELECT, INSERT, UPDATE
Аналитика только для чтения — SELECT

Предоставьте каждому пользователю минимальный набор привилегий, необходимый для его роли. Отмените все ненужные разрешения.

Также рассмотрите возможность контроля доступа на уровне строк или столбцов для ограничения видимости данных.

6. Мониторинг и аудит деятельности

Для обнаружения несанкционированной активности MySQL предоставляет плагины аудита, которые могут регистрировать выполнение запросов, модификацию данных и действия администратора.

К ключевым плагинам относятся:

Общий журнал запросов

Общий журнал запросов записывает все SQL-запросы, выполняемые MySQL. Чтобы включить его, установите параметр general_log значение 1 в конфигурационном файле MySQL (my.cnf) или выполнив команду:

mysql> SET GLOBAL general_log = 'ON';

Вы можете указать местоположение файла журнала, используя general_log_file.

Журнал медленных запросов

Журнал медленных запросов отслеживает запросы, время выполнения которых превышает заданный порог. Чтобы включить его, установите параметр slow_query_log переменную в 1 и задайте порог с помощью long_query_time (например, 10 секунд). Например:

mysql> SET GLOBAL slow_query_log = 'ON';
mysql> SET GLOBAL long_query_time = 10;

Расположение файла журнала контролируется параметром slow_query_log_file.

Двоичный журнал

Двоичный журнал содержит операторы SQL, которые изменяют данные. Он включен по умолчанию в MySQL 5.1+ (для целей репликации). Чтобы явно включить его, установите:

mysql> SET GLOBAL log_bin = ON;

Формат двоичного протоколирования задается через binlog_format, а местоположение файла binlog_file.

Во избежание проблем с дисковым пространством периодически обновляйте и создавайте резервные копии этих журналов. Журналы обеспечивают аудиторский контроль за деятельностью базы данных.

7. Применяйте последние исправления безопасности

Как и любое другое программное обеспечение, MySQL периодически выпускает патчи безопасности и обновления версий. Чтобы уменьшить уязвимости, всегда применяйте последнюю стабильную версию MySQL или исправления как можно скорее.

Проверяйте блог MySQL или примечания к релизам на предмет анонсов безопасности. Крупные версии, такие как MySQL 8, могут получать бэкпорты исправлений для старых версий, таких как MySQL 5.7.

Для систем Debian/Ubuntu выполните:

$ sudo apt update
$ sudo apt upgrade mysql-server

В RHEL/CentOS используйте:

$ sudo yum update mysql-server

8. Избегайте подвергать MySQL воздействию веб-фронтендов

Никогда не открывайте сервер MySQL напрямую для публичного доступа в Интернет. Если веб-приложениям необходимо подключиться к MySQL, используйте промежуточный прокси-слой, например Envoy или HAProxy, чтобы добавить брандмауэр и контролировать доступ.

Этот прокси-сервер может обеспечить:

Брандмауэр для ограничения соединений
Пул соединений для оптимизации производительности
Анализ запросов для мониторинга безопасности
Кэширование для снижения нагрузки на базу данных
Ограничение скорости для предотвращения чрезмерного трафика

Прокси добавляет накладные расходы, но дает вам больше контроля, чем прямое использование MySQL.

9. Использование прав доступа пользователей

Как уже говорилось ранее, согласуйте разрешения пользователей MySQL с принципом наименьших привилегий. Предоставьте каждому пользователю только те возможности, которые необходимы для его работы.

Но пользовательские разрешения могут обеспечить еще один уровень безопасности, помимо доступа к данным:

Ограничение привилегий процессов

Сайт PROCESS и SUPER привилегии позволяют изменять настройки и процессы сервера MySQL. Ограничьте пользователей, которым они абсолютно необходимы.

Ограничение ресурсов пользователя

The MAX_USER_CONNECTIONS лимит ресурсов не позволяет одному пользователю открывать слишком много соединений, которые могут перегрузить MySQL.

Ограничение блокировки учетных записей пользователей

Включить CREATE USER или ALTER USER привилегии для ограничения пользователей, которые могут блокировать/разблокировать другие учетные записи, предотвращая несанкционированные изменения.

Ограничение пользователей, которые могут создавать новых пользователей

Будьте осторожны с предоставлением права CREATE USER привилегии, поскольку создание новых пользователей может открыть дыры в системе безопасности.

10. Использование привилегий базы данных

Подобно учетным записям пользователей, вы можете применить принцип наименьших привилегий на уровне базы данных:

Ограничение привилегий базы данных CREATE/ALTER

Будьте осторожны, разрешая пользователям создавать или изменять структуру баз данных.

Ограничение прав доступа к базе данных DROP

Сайт DROP Привилегия на уровне базы данных может быть опасной — ограничьте пользователей, имеющих такую возможность.

Назначение ролей базы данных

Такие роли, как db_datareader или db_datawriter можно определить заранее настроенные наборы привилегий в базе данных, реализуя RBAC на уровне базы данных.

11. Защита файлов и каталогов MySQL

Файловая система, содержащая каталоги данных MySQL, табличные пространства и файлы журналов, должна быть заблокирована:

Ограничение прав доступа к файлам

Никогда не разрешайте глобальный доступ на чтение/запись к файлам MySQL. Отмените ненужные разрешения, чтобы ограничить доступ.

Включите безопасную передачу файлов

Рассмотрите возможность использования SFTP или SSH для безопасной передачи файлов вместо небезопасного FTP.

Разделяйте файлы базы данных и журналов

Разместите каталоги базы данных MySQL и файлы журналов на разных дисковых томах. Это повышает устойчивость к сбоям или переполнению одного из томов.

Шифрование файлов базы данных

Такие инструменты, как Transparent Data Encryption для MySQL Enterprise Edition, могут шифровать файлы баз данных, защищая их от несанкционированного доступа.

12. Соблюдайте осторожность при использовании репликации

Репликация MySQL позволяет поддерживать идентичные подчиненные базы данных. Эта мощная возможность также влечет за собой проблемы безопасности:

Использование TLS для трафика репликации

Так же, как вы шифруете клиентские соединения, используйте TLS для шифрования передачи данных репликации между ведущим и ведомым устройствами.

Ограничение привилегий при репликации

Предоставить REPLICATION SLAVE Предоставляйте привилегии с осторожностью, только тем учетным записям, которым они необходимы. Также рассмотрите возможность использования управления доступом на основе ролей.

Мониторинг двоичного журнала

Регулярно проверяйте двоичный журнал на наличие потенциально вредоносного SQL во время репликации.

13. Регулярно выполняйте резервное копирование

Резервное копирование является важным средством защиты от катастрофической потери данных в результате отказа оборудования, повреждения данных, случайного удаления и даже атак вымогателей.

Рассмотрите возможность комбинирования:

Полное ежедневное или еженедельное резервное копирование
Более частое инкрементное резервное копирование
Резервное копирование журнала транзакций

Регулярно тестируйте восстановление, чтобы убедиться в правильности работы резервных копий. Шифруйте резервные копии и храните их в нескольких защищенных местах.

14. Используйте возможности безопасности MySQL 8

Если возможно, перейдите на последнюю основную версию MySQL 8.x, чтобы воспользоваться преимуществами улучшенной безопасности:

Улучшенная защита паролем

В MySQL 8 улучшено хеширование паролей с помощью caching_sha2_password и более надежной проверкой пароля на просроченность.

Контроль доступа на основе ролей

Более продвинутые возможности RBAC для административных привилегий и доступа к данным.

Плагин аутентификации по умолчанию

Новые установки будут иметь сильную caching_sha2_password плагин включен по умолчанию.

Улучшенное шифрование

В MySQL 8 добавлена поддержка зашифрованных журналов отмены, журналов повторных операций и страниц файлов данных.

Заключение

Обеспечение безопасности сервера баз данных MySQL требует усердия, но душевное спокойствие стоит затраченных усилий. Используйте исчерпывающие советы, приведенные в этом руководстве, в качестве основы для защиты ваших сред MySQL. Всегда помните о безопасности при настройке новых экземпляров.

Используя надежные средства управления доступом, шифрования, аудита и другие возможности MySQL, вы можете развернуть инфраструктуру базы данных, будучи уверенным, что ваши данные защищены от большинства атак. Объедините эти меры на уровне базы данных с защитой на уровне системы, такой как брандмауэры, группы безопасности и VPN, чтобы реализовать глубокую защиту.

Хотя никакие меры безопасности не устраняют все риски, обеспечение нескольких уровней безопасности делает барьер для компрометации все более высоким. При правильном внедрении системы безопасности MySQL, а также при тщательном мониторинге и обслуживании, вы сможете избежать подавляющего большинства угроз для баз данных.