>等保测评2.0:MySQL身份鉴别(下)-网络安全-黑吧安全网 | xxx>等保测评2.0:MySQL身份鉴别(下)-网络安全-黑吧安全网 – xxx
菜单






>等保测评2.0:MySQL身份鉴别(下)-网络安全-黑吧安全网

三月 17, 2020 - 黑吧安全网

等保测评2.0:MySQL身份鉴别(下)

来源:本站整理 作者:佚名 时间:2020-03-17 TAG: 我要投稿

1. 说明
本篇文章主要说一下MySQL数据中身份鉴别控制点中b、c、d测评项的相关知识点和理解。
等保测评2.0:MySQL身份鉴别(上)
2. 测评项
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
 c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
3. 测评项b
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
3.1. 登录失败功能1
对于登录失败功能,先说一说初级教程里的参数:max_connect_errors:
>等保测评2.0:MySQL身份鉴别(下)-网络安全-黑吧安全网
这里的参数其实和我们想要的功能有差别,根据测评项,需要的是输入口令失败次数过多后锁定相应账户的功能。
max_connect_errors从表面说明看来,好像是这样。
但我自己在本地进行测试后,发现当口令错误次数超过max_connect_errors的值后,仍可以登录数据库。
根据网上的说明,max_connect_errors所指的“请求没有成功的建立就断开了”,其实是指由网络因素导致的连接失败。
在客户端与MySQL进行连接时,会首先发起三次握手协议,在这个期间,有一个超时时间,如果网络超时超过该时间,这次连接就无法正常建立,这个失败次数会计入host_cache表中的SUM_CONNECT_ERRORS字段中,当SUM_CONNECT_ERRORS超过限定值max_connect_errors时,就会阻止该主机的所有请求了。
而因为输入口令错误导致的连接错误,不会计入SUM_CONNECT_ERRORS中,也就不会达到我们想要的效果了。
>等保测评2.0:MySQL身份鉴别(下)-网络安全-黑吧安全网
关于max_connect_errors的详细说明,可以看一看这篇文章:MySQL参数max_connect_errors分析释疑
3.2. 登录失败功能2
可以使用插件CONNECTION_CONTROL和CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS共同实现。
使用下列语句查询插件:
>等保测评2.0:MySQL身份鉴别(下)-网络安全-黑吧安全网
mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
       FROM INFORMATION_SCHEMA.PLUGINS
       WHERE PLUGIN_NAME LIKE ‘connection%’;
+——————————————+—————+
| PLUGIN_NAME                              | PLUGIN_STATUS |
+——————————————+—————+
| CONNECTION_CONTROL                       | ACTIVE        |
| CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS | ACTIVE        |
+——————————————+—————+
然后是它的相关参数值:
show variables like ‘%connection_control%’;
>等保测评2.0:MySQL身份鉴别(下)-网络安全-黑吧安全网
参数解释如下:
connection_control_failed_connections_threshold:在服务器增加后续连接尝试的延迟之前,允许客户端进行的连续失败连接尝试的次数。
connection_control_min_connection_delay:对于超出阈值的每个连续连接失败,要添加的延迟量。
connection_control_max_connection_delay:要添加的最大延迟。
上述参数中,关于时间参数的单位是毫秒,其作用如下:
例如,使用默认值 connection_control_failed_connections_threshold 和 connection_control_min_connection_delay 值分别为3和1000,客户端的前三个连续失败连接尝试没有延迟,第四次失败尝试没有1000毫秒的延迟,第五次失败尝试有2000毫秒的延迟,依此类推,直到允许的最大延迟 connection_control_max_connection_delay。
具体可以参看官方说明:连接控制插件的安装
这里说一点,两个插件要都处于启用状态才能实现效果:
可以安装一个插件而不安装另一个插件,但是必须安装两个插件才能完全控制连接。特别是,仅安装 CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS 插件没什么用,因为如果没有 CONNECTION_CONTROL插件提供填充CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS 表的数据,那么 从表中进行的检索将始终为空。
3.3. 超时功能
在初级教程中,说的是wait_timeout参数,这个参数的单位是秒,默认值是28880。
这个超时时间,指的是某个和数据库的连接,在限制时间内没有发起任何请求,这个连接就会被清理掉。
但实际上相关的参数是两个,从官方文档上来看,interactive_timeout和wait_timeout是一样的,都是指不活跃的连接超时时间,连接线程启动的时候wait_timeout会根据是交互模式还是非交互模式被设置为这两个值中的一个。
交互式操作:通俗的说,就是你在你的本机上打开mysql的客户端,就是那个黑窗口,在黑窗口下进行各种sql操作,当然走的肯定是tcp协议。
非交互式操作:就是你在你的项目中进行程序调用。比如一边是tomcat web服务器

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。

上一篇:MacOS恶意软件Shlayer分析返回黑吧安全网首页】【进入黑吧技术论坛
下一篇:等保测评2.0:MySQL身份鉴别(上)








Notice: Undefined variable: canUpdate in /var/www/html/wordpress/wp-content/plugins/wp-autopost-pro/wp-autopost-function.php on line 51