数据库(mysql)审计二(自带审计功能)

打印 上一主题 下一主题

主题 848|帖子 848|积分 2544

一、概述:
    MariaDB和MySQL使用广泛,如果必要记任命户访问以符合公司的审计规则,那么从前必须使用其他数据库审计解决方案。然而为了满足这一需求,MariaDB开发了MariaDB审计插件。虽然MariaDB审计插件有一些仅适用于MariaDB的独特特性,但它也可以与MySQL一起使用。MariaDB审计插件的目的是记载服务器的运动。对于每个客户端会话,它记载谁连接到服务器(即用户名和主机)、执行了哪些查询、访问了哪些表以及更改了哪些服务器变量。此信息存储在日记文件中,也可以发送到当地syslogd。 MariaDB审计插件与MariaDB、MySQL(截至5.5.34和10.0.7版本)和PerconaServer一起工作。默认环境下,MariaDB开始包括10.0.10和5.5.37版本的审计插件,并且可以安装在MariaDB 5.5.20的任何版本中。 
查察插件的目次,进入目次可查察到已安装的插件
MariaDB [(none)]> SHOW GLOBAL VARIABLES LIKE 'plugin_dir';
+---------------+--------------------------+
| Variable_name | Value                    |
+---------------+--------------------------+
| plugin_dir    | /usr/lib64/mysql/plugin/ |
+---------------+--------------------------+
1 row in set (0.02 sec)
二、安装审计插件及先容
MariaDB [(none)]> INSTALL PLUGIN server_audit
    -> SONAME 'server_audit.so';
Query OK, 0 rows affected (0.14 sec)
在初次加载插件之前,服务器将不知道插件将要使用的变量(拜见设置)。如果在审计插件至少加载一次之前在设置文件中设置了这些变量,则数据库服务器将无法成功启动。
MariaDB [(none)]> SHOW GLOBAL VARIABLES LIKE 'server_audit%';
SHOW GLOBAL VARIABLES LIKE 'server_audit%';

+-------------------------------+-----------------------+
| Variable_name                 | Value                 |
+-------------------------------+-----------------------+
| server_audit_events           | CONNECT,QUERY,TABLE   |
| server_audit_excl_users       |                       |
| server_audit_file_path        | server_audit.log      |
| server_audit_file_rotate_now  | OFF                   |
| server_audit_file_rotate_size | 1000000               |
| server_audit_file_rotations   | 9                     |
| server_audit_incl_users       |                       |
| server_audit_logging          | ON                    |
| server_audit_mode             | 0                     |
| server_audit_output_type      | file                  |
| server_audit_query_log_limit  | 1024                  |
| server_audit_syslog_facility  | LOG_USER              |
| server_audit_syslog_ident     | mysql-server_auditing |
| server_audit_syslog_info      |                       |
| server_audit_syslog_priority  | LOG_INFO              |
+-------------------------------+-----------------------+
参数说明:
server_audit_output_type:指定日记输出范例,可为SYSLOG或FILE
server_audit_logging:启动或关闭审计
server_audit_events:指定记载变乱的范例,可以用逗号分隔的多个值(connect,query,table),如果开启了查询缓存(query cache),查询直接从查询缓存返回数据,将没有table记载
server_audit_file_path:如server_audit_output_type为FILE,使用该变量设置存储日记的文件,可以指定目次,默认存放在数据目次的server_audit.log文件中
server_audit_file_rotate_size:限制日记文件的巨细
server_audit_file_rotations:指定日记文件的数量,如果为0日记将从不轮转
server_audit_file_rotate_now:强制日记文件轮转
server_audit_incl_users:指定哪些用户的运动将记载,connect将不受此变量影响,该变量比server_audit_excl_users 优先级高
server_audit_syslog_facility:默以为LOG_USER,指定facility
server_audit_syslog_ident:设置ident,作为每个syslog记载的一部分
server_audit_syslog_info:指定的info字符串将添加到syslog记载
server_audit_syslog_priority:界说记载日记的syslogd priority
server_audit_excl_users:该列表的用户行为将不记载,connect将不受该设置影响
server_audit_mode:标识版本,用于开发测试
可以在my.cnf、my.ini大概创建/etc/my.cnf.d/server.cnf添加如下内容;发起在server.cnf中进行
[mysqld]
plugin_load=server_audit=server_audit.so
server_audit_events=connect,query
server_audit_logging = on   
    由MariaDB审计插件记载的变乱通常被分组为不同的范例:连接、查询和表变乱,若要基于这些范例的变乱进行日记记载,请将变量SERVER_AUDIT_Events设置为连接、查询或表。要让审计插件日记有多个范例的变乱,请将它们放在逗号分隔的列表中,如下所示:
SET GLOBAL server_audit_events = 'CONNECT,QUERY,TABLE’;
MariaDB [(none)]> SET GLOBAL server_audit_events = 'CONNECT,QUERY,TABLE';
Query OK, 0 rows affected (0.00 sec)
默认环境下,日记被设置为关闭,启用设置server_audit_logging为on。
请留意:如果启用了查询缓存,并且从查询缓存中返回了查询,则不会出现表记载,由于服务器没有打开或访问任何表,而依赖于缓存的结果。因此可能禁用查询缓存。
现实上有几种范例的变乱可能被记载,而不仅仅是上面提到的三种常见变乱。相关的体系变量列表以server_audit体系变量和状态变量的详细页面,对本文档的server_audit状态变量页面。下面着重先容此中的一些重要问题(摘自官方):

三、数据库审计详解  
  由于除了DDL和DML之外,还有其他范例的查询,因此将query_dl和query_dml选项一起使用并不等同于使用查询。从审计插件的1.3.0版本开始,有用于记载DCL范例查询的查询_DCL选项(例如,GRANT和REVOKE语句)。在同一版本中,添加了SERVER_AUDIT_QUERY_LOG_LAND变量,以便能够设置日记记载的长度。从前由于查询字符串较长,日记条目将被截断。 
3.1、日记连接变乱 
    如果已将审核插件设置为记载连接变乱,则它将记载连接、断开连接和失败连接。对于失败的连接,日记包含错误代码,可以界说一个用户列表,此中的变乱可以被清除或包括在跟踪他们的数据库运动中。但是对于连接变乱的日记记载,此列表将被忽略。这是由于审计区分了技术用户和物理用户。所有范例的用户都必要记载连接;只有物理用户才必要记载对对象的访问。
3.2、日记查询变乱 
    如果启用了查询变乱日记记载,则将为界说的用户记载执行的查询。查询将在执行时以纯文本情势记载下来。这是一个安全漏洞:任何访问日记文件的人都可以读取查询。因此请确保只有受信任的用户才能访问日记文件,并且文件位于受掩护的位置。另一种方法不是使用查询变乱日记,而是只使用表变乱日记记载。 如果查询不能执行,如果查询不成功,也会记载查询。例如由于语法错误或用户没有访问对象所需的权限、查询将被记载。这些查询可以由日记中提供的错误代码进行解析。 可能会发现失败的查询:它们可能袒露应用步伐的问题(例如应用步伐中的SQL语句与当前模式不匹配)。它们还可以表现恶意用户是否正在猜测表和列的名称,以实行访问数据。 下面是一个示例,此中用户试图在他没有权限的表上执行UPDATE语句:
UPDATE employees
SET salary = salary * 1.2
WHERE emp_id = 18236;

ERROR 1142 (42000):
UPDATE command denied to user 'bob'@'localhost' for table 'employees'
当进入数据库进行操纵时,所有的查询、修改、删除等操纵都被记载到/var/lib/mysql/server_audit.log文件中,审计日记记载如下:
20240118 18:58:02,ctc-bjlg-snorby,,,5,0,DISCONNECT,,,0
20240118 18:58:02,ctc-bjlg-snorby,,,43,0,DISCONNECT,,,0
20240118 18:58:05,ctc-bjlg-snorby,UNKNOWN_MYSQL_US,localhost,1,0,FAILED_CONNECT,,,1045
20240118 18:58:05,ctc-bjlg-snorby,,,1,0,DISCONNECT,,,0
20240118 18:58:22,ctc-bjlg-snorby,root,localhost,2,0,CONNECT,,,0
20240118 18:58:22,ctc-bjlg-snorby,root,localhost,2,2,QUERY,,'show global status like \'%audit%\'',0
20240118 18:58:39,ctc-bjlg-snorby,,,2,0,DISCONNECT,,,0
20240118 18:58:54,ctc-bjlg-snorby,root,localhost,3,0,CONNECT,,,0
20240118 18:58:54,ctc-bjlg-snorby,root,localhost,3,4,QUERY,,'select @@version_comment limit 1',0
20240118 18:59:02,ctc-bjlg-snorby,root,localhost,3,5,QUERY,,'show databases',0
20240118 18:59:09,ctc-bjlg-snorby,root,localhost,3,6,QUERY,,'SELECT DATABASE()',0
20240118 18:59:09,ctc-bjlg-snorby,root,localhost,3,8,QUERY,snorby,'show databases',0
20240118 18:59:09,ctc-bjlg-snorby,root,localhost,3,9,QUERY,snorby,'show tables',0
20240118 18:59:13,ctc-bjlg-snorby,root,localhost,3,41,QUERY,snorby,'show tables',0
20240118 18:59:18,ctc-bjlg-snorby,root,localhost,3,42,QUERY,snorby,'select * from users',0
20240118 19:00:14,ctc-bjlg-snorby,root,localhost,3,43,QUERY,snorby,'SHOW GLOBAL VARIABLES LIKE \'server_audit%\'',0
3.3、记任命户运动
    审核插件将记载所有用户的数据库运动,或仅记载您指定的用户。数据库运动界说为查询变乱或表变乱。所有用户都记载连接变乱。
    可以指定要包括在与server_audit_incl_users变量日记或清除用户与用户server_audit_excl_users变量。如果您希望记载条目,但对受信任应用步伐的条目不感爱好,并希望将它们从日记中清除,这将非常有用。
    通常可以使用server_audit_incl_users变量或server_audit_excl_users变量。不外可以使用这两个变量。如果用户名是不经意间设置了这两变量,该用户将被记载由于server_audit_incl_users优先数据库运动。
虽然MariaDB以为用户的用户名和主机名的团结,只有基于用户日记审计插件。MariaDB同时使用用户名和主机名、授予权限的用户的位置有关。特权用户对于跟踪对数据库对象的访问是不相关的。主机名仍然记载在日记中,但日记记载不是基于该信息确定的。
下面的示例演示如何向server_audit_incl_users变量添加一个新的用户名不删除从前的用户名:
SET GLOBAL server_audit_incl_users = CONCAT(@@global.server_audit_incl_users, ',Maria');
记得添加任何新的用户将被包括在日记MariaDB设置文件雷同的变量。否则当服务器重新启动时,它的相关设置将不生效。
3.4、清除审计用户或指定审计用户 
    默认环境下,所有用户的变乱都会被记载下来,但是某些用户可以通过使用server_AUDIT_EXL_USERS变量被清除在日记记载之外。例如为了清除用户valerianus和ROCK记载他们的变乱: 
[mariadb]
server_audit_excl_users=valerianus,rocky
此选项重要用于清除受信任应用步伐的运动。 大概server_AUDIT_INCL_USERS可用于专门包含用户。这两个变量都可以使用,但是如果一个用户出现在两个列表中,server_audd_incl_user具有更高的优先级,并且他们的运动将被记载下来。 留意所有用户都会记载连接变乱,无论这两个设置如何。日记记载也只基于用户名,而不是MariaDB用来确定权限的用户名和主机名组合。
这些变量的值可以由具有超级特权的管理员使用SET语句更改。下面是如何禁用审计日记记载的示例:
SET GLOBAL server_audit_logging=OFF;
3.5、卸载审计插件相关
卸载插件语句可用于卸载审计插件:UNINSTALL PLUGIN server_audit;
偶然为了审计可能必要克制卸载审核插件,为此可以在插件加载一次之后将以下行添加到设置文件中:
[mysqld]
...
plugin­_load=server_audit=server_audit.so
server_audit=FORCE_PLUS_PERMANENT

一旦将上面的选项添加到服务器的设置文件并重新启动数据库,如果有人试图卸载审计插件,则会返回错误消息。下面是一个错误消息的示例:
UNINSTALL PLUGIN server_audit;
ERROR 1702 (HY000):
Plugin 'server_audit' is force_plus_permanent and can not be unloaded
参考链接:
https://mariadb.com/kb/en/library/mariadb-audit-plugin-installation/

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

正序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

科技颠覆者

金牌会员
这个人很懒什么都没写!

标签云

快速回复 返回顶部 返回列表