网络安全之等保2.0测评

2022-11-08|

一、身份鉴别

a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换

1、登录mysql查看是否使用了口令和密码的组合鉴别身份

mysql -h 192.168.100.16 -u root -p
//加微:anquan455免费领取网络安全全套资料
//包含全套工具包+web安全笔记+100份技术文档+网安常见书籍+ctf+渗透测试

2、使用如下命令查询用户列表,是否存在相同用户名。结果默认不存在同名用户

select user, host FROM mysql.user;
//加微:anquan455免费领取网络安全全套资料
//包含全套工具包+web安全笔记+100份技术文档+网安常见书籍+ctf
//渗透测试+网安学习路线+50份安全攻防面试指南+漏洞实战案例+视频教程

3、执行如下命令查看是否存在空口令用户

select user,host,authentication_string,password_lifetime,account_locked from mysql.user;

//加微:anquan455免费领取网络安全全套资料
//包含全套工具包+web安全笔记+100份技术文档+网安常见书籍+ctf
//渗透测试+网安学习路线+50份安全攻防面试指南+漏洞实战案例+视频教程

4、执行如下命令查看密码复杂度设置

show variables like 'validate%';

//加微:anquan455免费领取网络安全全套资料
//包含全套工具包+web安全笔记+100份技术文档+网安常见书籍+ctf
//渗透测试+网安学习路线+50份安全攻防面试指南+漏洞实战案例+视频教程

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

1、询问管理员是否采取其他手段配置数据库登录失败处理功能。

2、查看是否安装插件,并增加失败处理功能

show variables like '%connection_control%';
show variables like '%max_connect_errors%';  # 查看登录失败策略

//加微:anquan455免费领取网络安全全套资料
//包含全套工具包+web安全笔记+100份技术文档+网安常见书籍+ctf
//渗透测试+网安学习路线+50份安全攻防面试指南+漏洞实战案例+视频教程

3、 操作超时自动退出功能

show variables like "%timeout%";

//加微:anquan455免费领取网络安全全套资料
//包含全套工具包+web安全笔记+100份技术文档+网安常见书籍+ctf
//渗透测试+网安学习路线+50份安全攻防面试指南+漏洞实战案例+视频教程

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听

1、询问是否采用远程管理,如果本地管理则不适用,远程管理是否启用SSL

show variables like "%have_ssl%";
show variables like "%have_openssl%";

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现

对于数据库基本不符合。

二、访问控制

a)应对登录的用户分配账户和权限

1、使用命令查看,是否为登录的用户创建了不同账户和权限。

select user,host from mysql.user ;
SHOW grants for 'root'@'localhost';

询问数据库管理员各个账户的作用与权限,输出结果是否与实际人员是否相符

注:此项基本上是默认符合,因为至少有个root用户存在

b)应重命名或删除默认账户,修改默认账户的默认口令

1、查看root用户是否被删除或者重命名,不修改需要增加口令复杂度,避免空口令弱口令出现

c)应及时删除或停用多余的、过期的账户,避免共享账户的存在

select user,host,authentication_string,password_lifetime,account_locked from mysql.user;

2、询问管理员是否不同用户采用不同账户登录,避免共享账户的存在

d)应授予管理用户所需的最小权限,实现管理用户的权限分离

1、是否对用户进行角色划分且只授予账号必须的权限,除root外,任何用户不应该有mysql库user表的存取权限,禁止将fil、process、 super权限授予管理员以外的账户

select * from mysql.user;

2、查看用户权限表,并验证用户是否具有自身角色外的其他用户的权限。

select * from mysql.user where user="test";

e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则

select * from mysql.user\G //检查用户权限列表
select * from mysql.db\G //检查数据库权限列表
select * from mysql.tables_priv\G //检查用户表权限列表

1、访谈管理员是否制定了访问控制策略。

2、执行命令查看用户权限列表

3、检查数据库权限列表

select * from mysql.db

4、检查用户表权限列表

select * from mysql.tables_priv

5、检查列权限列管理员

select * from mysql.columns_priv

输出的权限列是是否与管理员制定的访问控制策略及规则一致

f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级

1、执行如下sql语句

select * from mysql.user -检查用户权限列表
select * from mysql.db -检查数据库权限列表

2、访谈管理员并核查访问控制粒度主体是否为用户级,客体是否为数据库表级,基本都满足。

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问

MySQL不提供该项功能,访谈管理员,是否采用其他技术手段。

三、安全审计

a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

1、执行下列语句:show global variables like ‘%general%’。默认为OFF,不符合。应设置为ON为开启审计。

show global variables like '%general%';

访谈管理员是否通过第三方插件收集审计数据进行分析。

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

1、只要启用了审计功能,无论是自带的审计还是插件,在记录的信息上都能满足这个要求。
2、是否采取第三方工具审计,查看审计内容是否符合上述要求

c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等

1


标签: 是否 数据 用户 重要 审计 数据库 进行 权限 安全 信息

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护