Mysql安全基线检查

禁用local-infile选项 | 访问控制

描述

禁用local_infile选项会降低攻击者通过SQL注入漏洞器读取敏感文件的能力

加固建议

编辑Mysql配置文件/etc/my.cnf,在mysqld 段落中配置local-infile参数为0,并重启mysql服务:
local-infile=0


确保配置了log-error选项

描述

启用错误日志可以提高检测针对mysql和其他关键消息的恶意尝试的能力,例如,如果错误日志未启用,则连接错误可能会被忽略。

加固建议

编辑Mysql配置文件/etc/my.cnf,在mysqld_safe 段落中配置log-error参数,<log_path>代表存放日志文件路径,如:/var/log/mysqld.log,并重启mysql服务:
log-error=<log_path>


禁用symbolic-links选项 | 服务配置

描述

symbolic-links:是否支持符号链接,即数据库或表可以存储在my.cnf中指定datadir之外的分区或目录,为0不开启
禁用符号链接以防止各种安全风险

加固建议

编辑Mysql配置文件/etc/my.cnf,在mysqld 段落中配置symbolic-links=0,5.6及以上版本应该配置为skip_symbolic_links=yes,并重启mysql服务。

mysqletc配置文件禁用log-errormysqld