等保测评2.0:MySQL身份鉴别(下)
2020-03-17 10:30:40 Author: www.freebuf.com(查看原文) 阅读量:319 收藏

1. 说明

本篇文章主要说一下MySQL数据中身份鉴别控制点中b、c、d测评项的相关知识点和理解。

等保测评2.0:MySQL身份鉴别(上)

2. 测评项

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

 c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; 

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

3. 测评项b

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

3.1. 登录失败功能1

对于登录失败功能,先说一说初级教程里的参数:max_connect_errors:

这里的参数其实和我们想要的功能有差别,根据测评项,需要的是输入口令失败次数过多后锁定相应账户的功能。

max_connect_errors从表面说明看来,好像是这样。

但我自己在本地进行测试后,发现当口令错误次数超过max_connect_errors的值后,仍可以登录数据库。

根据网上的说明,max_connect_errors所指的“请求没有成功的建立就断开了”,其实是指由网络因素导致的连接失败。

在客户端与MySQL进行连接时,会首先发起三次握手协议,在这个期间,有一个超时时间,如果网络超时超过该时间,这次连接就无法正常建立,这个失败次数会计入host_cache表中的SUM_CONNECT_ERRORS字段中,当SUM_CONNECT_ERRORS超过限定值max_connect_errors时,就会阻止该主机的所有请求了。

而因为输入口令错误导致的连接错误,不会计入SUM_CONNECT_ERRORS中,也就不会达到我们想要的效果了。

关于max_connect_errors的详细说明,可以看一看这篇文章:MySQL参数max_connect_errors分析释疑

3.2. 登录失败功能2

可以使用插件CONNECTION_CONTROL和CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS共同实现。

使用下列语句查询插件:

图片.png

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
       FROM INFORMATION_SCHEMA.PLUGINS
       WHERE PLUGIN_NAME LIKE 'connection%';
+------------------------------------------+---------------+
| PLUGIN_NAME                              | PLUGIN_STATUS |
+------------------------------------------+---------------+
| CONNECTION_CONTROL                       | ACTIVE        |
| CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS | ACTIVE        |
+------------------------------------------+---------------+

然后是它的相关参数值:

show variables like '%connection_control%';

参数解释如下:

connection_control_failed_connections_threshold:在服务器增加后续连接尝试的延迟之前,允许客户端进行的连续失败连接尝试的次数。

connection_control_min_connection_delay:对于超出阈值的每个连续连接失败,要添加的延迟量。

connection_control_max_connection_delay:要添加的最大延迟。

上述参数中,关于时间参数的单位是毫秒,其作用如下:

例如,使用默认值 connection_control_failed_connections_threshold 和 connection_control_min_connection_delay 值分别为3和1000,客户端的前三个连续失败连接尝试没有延迟,第四次失败尝试没有1000毫秒的延迟,第五次失败尝试有2000毫秒的延迟,依此类推,直到允许的最大延迟 connection_control_max_connection_delay。

具体可以参看官方说明:连接控制插件的安装

这里说一点,两个插件要都处于启用状态才能实现效果:

可以安装一个插件而不安装另一个插件,但是必须安装两个插件才能完全控制连接。特别是,仅安装 CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS 插件没什么用,因为如果没有 CONNECTION_CONTROL插件提供填充CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS 表的数据,那么 从表中进行的检索将始终为空。

3.3. 超时功能

在初级教程中,说的是wait_timeout参数,这个参数的单位是秒,默认值是28880。

这个超时时间,指的是某个和数据库的连接,在限制时间内没有发起任何请求,这个连接就会被清理掉。

但实际上相关的参数是两个,从官方文档上来看,interactive_timeout和wait_timeout是一样的,都是指不活跃的连接超时时间,连接线程启动的时候wait_timeout会根据是交互模式还是非交互模式被设置为这两个值中的一个。

交互式操作:通俗的说,就是你在你的本机上打开mysql的客户端,就是那个黑窗口,在黑窗口下进行各种sql操作,当然走的肯定是tcp协议。

非交互式操作:就是你在你的项目中进行程序调用。比如一边是tomcat web服务器,一边是数据库服务器,两者怎么通信?在java web里,我们通常会选择hibernate或者是jdbc来连接。那么这时候就是非交互式操作。

当使用交互模式时,使用interactive_timeout参数,而非交互模式时,则使用wait_timeout参数。

但实际上呢,MySQL在这里绕了个圈子,使用交互模式时,虽然使用的是interactive_timeout参数,但这里所谓的使用是指在check_connection函数在建立连接初期,将interactive_timeout值赋给wait_timeout,然后仍然由wait_timeout来控制超时(这种模式太容易误导人了):

做个实验,默认状况下interactive_timeout和wait_timeout都是默认值28880。

在一个交互式连接中,用以下语句设置interactive_timeout值:

set global interactive_timeout = 28805;

此时wait_timeout还是28880(因为wait_timeout引用interactive_timeout值的时间节点已经过去了),当新建一个交互式连接后,wait_timeout的值就变成了28805了:

show session variables like '%timeout%';

详细内容可以查看MySQL官方文档以及MySQL中 timeout相关参数解析mysql timeout调研与实测

3.4. MySQL变量

这里说一说一个概念,在MySQL中存在global变量和session变量,比如wait_timeout,在global变量和session变量都存在(也有些变量只存在global变量中):

session变量是指该变量仅对这一次连接有效,global变量则是对所有连接均有效。

当每个连接建立时,其session变量来自相应的global变量。

当MySQL服务重启时,global变量也会失效,从MySQL配置文件中读取默认值或者设置值。

我们常用的查询、设置变量的语句,在不加上global关键词时,默认查询和设置的都是session变量,以下两个语句是等价的:

show session variables like '%timeout%';
show variables like '%timeout%';

如果要查询global变量,加上global关键字即可:

show global  variables like '%timeout%';

所以在上文中设置了global interactive_timeout值后的过程是这样的:
设置global interactive_timeout,重新交互式建立连接,此时session interactive_timeout的值来自设置的global interactive_timeout的值(28805)。此时session wait_timeout的值也来自global wait_timeout的值(28800)。然后在连接的建立过程中session wait_timeout引用了session interactive_timeout,于是就变成了28805。

4. 测评项c

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

MySQL自己支持使用ssl协议对连接进行加密,相关的参数有have_openssl、have_ssl:

这里的have_openssl变量如果按照官网的手册里的说法,应该是have_ssl变量的别名:

其内容如下:

为YES则代表数据库支持SSL连接(但并不代表强制要求客户端使用ssl协议,此时它仍然允许未加密的连接)

如果某连接使用到了SLL,在Mysql.exe中,使用status可以看到相关信息(这里没使用):

同时SSL_CIPHER变量中会存在值:

使用SSL,需要运行mysql_ssl_rsa_setup,生成以下文件:

此时,相关变量如下:

可以强制某用户必须使用ssl进行连接:

也可以强制服务器端只接受ssl的连接:

5. 测评项d

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

对于双因素本身的探讨在这里就不进行重复的论述了,可以看我以前文章中该测评项的内容:等保测评2.0:Windows身份鉴别等保测评2.0:SQLServer身份鉴别(下) 

对于MySQL本身,可以要求客户端必须提供ca.pem、client-cert.pem、client-key.pem文件才能够连接成功:

通过对用户进行设置:

ALTER USER 'remote_user'@'mysql_client_IP' REQUIRE X509;

此时如果直接使用用户名、口令去连接,会出错:

mysql -u remote_user -p -h mysql_server_IP
ERROR 1045 (28000): Access denied for user 'remote_user'@'mysql_client_IP' (using password: YES)

此时需要在客户端连接时指定相关文件:

mysql -u remote_user -p -h mysql_server_IP --ssl-ca=~/client-ssl/ca.pem --ssl-cert=~/client-ssl/client-cert.pem --ssl-key=~

具体内容可以查看:Mysql启动ssl连接

这种应该也算是使用双因素进行身份认证,至于如果使用堡垒机的方式对数据库进行管理,然后堡垒机使用双因素认证等,只能用来修正双因素的高风险而已。

*本文原创作者:起于凡而非于凡 ,本文属于FreeBuf原创奖励计划,未经许可禁止转


文章来源: https://www.freebuf.com/articles/database/228104.html
如有侵权请联系:admin#unsafe.sh