linux mysql 密码策略_Linux Ubuntu 14 MySQL 密码策略（复杂度）和审计插件

浅浅的花香味﹌ 2023-01-11 13:01 379阅读 0赞

一、概述

系统等保要求，MySQL 数据库必须开启密码策略(复杂度)设置和安装审计插件。

数据库的密码复杂度设置从内部即可开启和设置，但是审计插件必须额外进行下载和安装。

二、MySQL 数据库密码策略(复杂度)设置

登录数据库，输入以下命令，检查当前密码策略情况。

show variables like 'validate\_password%';

![f8ec6dcdd4c070239e5b388a59689750.png][]

通过以下命令，可以修改策略值(例)。

set global validate\_password\_policy=0;

关于MySQL密码策略相关参数说明：

1)、validate\_password\_length  固定密码的总长度；

2)、validate\_password\_dictionary\_file 指定密码验证的文件路径；

3)、validate\_password\_mixed\_case\_count  整个密码中至少要包含大/小写字母的总个数；

4)、validate\_password\_number\_count  整个密码中至少要包含阿拉伯数字的个数；

5)、validate\_password\_policy 指定密码的强度验证等级，默认为 MEDIUM；

关于 validate\_password\_policy 的取值：

0/LOW：只验证长度；

1/MEDIUM：验证长度、数字、大小写、特殊字符；

2/STRONG：验证长度、数字、大小写、特殊字符、字典文件；

6)、validate\_password\_special\_char\_count 整个密码中至少要包含特殊字符的个数；

如果显示命令无效，则说明策略尚未开启，按照以下步骤操作，编辑配置文件 vim /etc/my.cnf，添加以下命令。

plugin-load=validate\_password.so

重启服务，登录数据库，执行以下命令进行插件安装。

INSTALL PLUGIN validate\_password SONAME 'validate\_password.so';

再次重启服务，输入以下命令，检查当前密码策略情况。

show variables like 'validate\_password%';

三、MySQL 审计插件

审计插件下载地址：https://bintray.com/mcafee/mysql-audit-plugin/release/1.1.6-784\#files

下载文件：audit-plugin-mysql-5.7-1.1.6-784-linux-x86\_64.zip

目录说明：lib -> libaudit\_plugin.so、utils -> offset-extract.sh，用到这两个文件。

1. 查询数据库插件统一存放目录位置，将 libaudit\_plugin.so 上传到目录下。

show global variables like 'plugin\_dir';

![132362bf347d69cb638b353597a77b8b.png][]

2.来到 plugin 目录下对 so 文件授权。

chmod +x libaudit\_plugin.so

chown mysql:mysql libaudit\_plugin.so

3. 创建审计日志目录，并授权 mysql 用户操作权限，授权操作不执行会导致日志无法生成。

mkdir /usr/local/mysql/3306/audit\_log/

chown mysql.mysql /usr/local/mysql/3306/audit\_log/

4. 将 offset-extract.sh 脚本上传到服务器上，并授权。

chmod +x offset-extract.sh

5. 执行脚本运算，获取运算值。

./offset-extract.sh /usr/local/mysql/bin/mysqld

![5dcae4d87af2971785113db43ea69afc.png][]

//offsets for: /usr/local/mysql/bin/mysqld (5.7.26)

\{"5.7.26","454f8eee117882061d2a4ed575328a01", 7824, 7872, 3632, 4792, 456, 360, 0, 32, 64, 160, 536, 7988, 4360, 3648, 3656, 3660, 6072, 2072, 8, 7056, 7096, 7080, 13472, 148, 672\},

6. 在 MySQL 配置文件中，配置以下命令。

plugin-load=AUDIT=libaudit\_plugin.so

audit\_offsets=7824, 7872, 3632, 4792, 456, 360, 0, 32, 64, 160, 536, 7988, 4360, 3648, 3656, 3660, 6072, 2072, 8, 7056, 7096, 7080, 13472, 148, 672 \# 运算值，通过第五步得出

audit\_json\_file=ON

audit\_json\_log\_file=/usr/local/mysql/3306/audit\_log/mysql-audit.json \# 日志目录

audit\_record\_cmds=insert,delete,update,create,drop,revoke,alter,grant,set \# 针对这些语句来审计

![a8fc431353aceeca6ca89a8ec799c95a.png][]

7. 重启数据库服务，service mysql.server restart，输入以下命令查询插件安装情况。

show plugins;

![c6562b3ef7b986408ca906242d91347a.png][]

查看插件版本。

show global status like 'AUDIT\_version';

![b0933fd315bddc57e3ab98c878bbf5e9.png][]

查看日志文件是否开启。

show global variables like 'audit\_json\_file';

![971bcdb59af984a5b0650ba11e78b114.png][]

\*参数说明：

1. audit\_json\_file

\#是否开启audit功能

2. audit\_json\_log\_file

\#记录文件的路径和名称信息

3. audit\_record\_cmds

\#audit记录的命令,默认为记录所有命令可以设置为任意dml、dcl、ddl的组合 如：audit\_record\_cmds=select,insert,delete,update 还可以在线设置set global audit\_record\_cmds=NULL(表示记录所有命令)

4.audit\_record\_objs

\#audit记录操作的对象，默认为记录所有对象，可以用SET GLOBAL audit\_record\_objs=NULL设置为默认。也可以指定为下面的格式：audit\_record\_objs=,test.\*,mysql.\*,information\_schema.\*。

8. 查看审计日志

cat /usr/local/mysql/3306/audit\_log/mysql-audit.json

四、测试

这里直接引用测试即可，进入到 MySQL 命令行，执行语句。

CREATE TABLE \`t1\` ( \`id\` int(10) NOT NULL AUTO\_INCREMENT, \`age\` tinyint(4) NOT NULL DEFAULT '0', \`name\` varchar(30) NOT NULL DEFAULT '', PRIMARY KEY (\`id\`) )DEFAULT CHARSET=utf8;

INSERT INTO \`test\`.\`t1\` (\`age\`, \`name\`) VALUES ('1', '1');

INSERT INTO \`test\`.\`t1\` (\`age\`, \`name\`) VALUES ('3', '3');

INSERT INTO \`test\`.\`t1\` (\`age\`, \`name\`) VALUES ('4', '4');

INSERT INTO \`test\`.\`t1\` (\`age\`, \`name\`) VALUES ('5', '5');

update t1 set name='6' where age='5';

delete from t1 where age='1'; select \* from t1;

查看日志即可。

cat /usr/local/mysql/3306/audit\_log/mysql-audit.json

五、参考文章

https://blog.51cto.com/13941177/2173086

https://www.cnblogs.com/hanxiaohui/p/9347767.html

[f8ec6dcdd4c070239e5b388a59689750.png]: /images/20221119/d5f1e8aa438d48a0a47ccf160dbaf63d.png
[132362bf347d69cb638b353597a77b8b.png]: /images/20221119/786ff866ccc04e72aeec39d204e0e781.png
[5dcae4d87af2971785113db43ea69afc.png]: /images/20221119/4c0cb915e3b648d0af813fa70aae151d.png
[a8fc431353aceeca6ca89a8ec799c95a.png]: /images/20221119/6ca159b634684df4a83f43cbdfbe983c.png
[c6562b3ef7b986408ca906242d91347a.png]: /images/20221119/b7a15ca4c1614950a84559e936bb7ace.png
[b0933fd315bddc57e3ab98c878bbf5e9.png]: /images/20221119/39ed583d85ff4b609b405e855242c7ba.png
[971bcdb59af984a5b0650ba11e78b114.png]: /images/20221119/caf7c28adbd047f09a066ef972aae991.png