MariaDB在Ubuntu上的安全策略

mariadb在ubuntu上的安全策略主要包括以下幾個方面：

安裝和更新

• 確保系統更新到最新版本。
• 安裝MariaDB服務器。

基本安全配置

• 運行安全安裝腳本：使用mysql_secure_installation腳本進行安全配置，包括設置或更改root用戶的密碼、刪除匿名用戶賬戶、禁止root用戶遠程登錄、刪除測試數據庫、啟用二進制日志、限制訪問本地文件系統的權限。
• 修改配置文件：編輯MariaDB的配置文件/etc/mysql/mariadb.conf.d/50-server.cnf，進行以下修改：
  • 將bind-address從127.0.0.1注釋掉或修改為0.0.0.0，以允許遠程連接。
  • 修改max_connections參數以增加最大連接數。

高級安全配置

• 啟用ssl連接：配置SSL證書以加密客戶端和服務器之間的通信。
• 配置防火墻：使用ufw防火墻工具，只允許必要的端口如ssh和http，并定期檢查防火墻設置。
• 限制用戶權限：創建新的數據庫和用戶，并賦予相應的權限，避免使用root賬戶進行日常操作。

系統安全加固

• 控制系統賬戶，除了root賬戶需要登錄以外，其他賬戶應設置為禁止登錄。
• 修改口令生存期，將口令生存期設置為最小，例如7天，以減少密碼被猜測的風險。
• 設置口令復雜度，確保新建用戶時輸入的口令復雜程度，至少包含一個數字、一個小寫字母、一個大寫字母、一個特殊字符。
• 限制登錄超時，限制用戶登錄成功后的等待時間，無操作則斷開連接，防止暴力破解。
• 修改SSH遠程端口，修改SSH默認端口，以減少被自動掃描的風險。
• 禁用root登錄，通過編輯/etc/ssh/sshd_config文件，將PermitRootLogin設置為no，禁止直接通過SSH登錄root賬戶。
• 啟用公鑰登錄，確保PubkeyAuthentication設置為yes，使用密鑰對進行身份驗證，提高安全性。
• 配置防火墻，使用ufw防火墻工具，只允許必要的端口如SSH和HTTP，并定期檢查防火墻設置。
• 安裝并配置Fail2Ban，防止暴力破解攻擊。

定期審計和監控

• 通過檢查系統日志、服務狀態和安全工具，及時發現并解決潛在的安全問題。

請注意，安全性是一個持續的過程，需要不斷地監控和更新。