禁用local-infile选项 | 访问控制
描述
禁用local_infile选项会降低攻击者通过SQL注入漏洞器读取敏感文件的能力
加固建议
编辑Mysql配置文件/my.cnf,在mysqld 段落中配置local-infile参数为0,并重载/重启mysql服务:
local-infile=0
确保配置了log-error选项 | 安全审计
描述
启用错误日志可以提高检测针对mysql和其他关键消息的恶意尝试的能力,例如,如果错误日志未启用,则连接错误可能会被忽略。
加固建议
编辑Mysql配置文件/my.cnf,在mysqld_safe 段落中配置log-error参数,代表存放日志文件路径,如:/var/log/mysqld.log,并重启mysql服务:
log-error=<log_path>
禁用symbolic-links选项 | 服务配置
描述
禁用符号链接以防止各种安全风险
加固建议
编辑Mysql配置文件/my.cnf,在mysqld]段落中配置symbolic-links=0,5.6及以上版本应该配置为skip_symbolic_links=yes,并重启mysql服务。
修改默认3306端口 | 服务配置
描述
避免使用熟知的端口,降低被初级扫描的风险
加固建议
编辑/my.cnf文件,mysqld段落中配置新的端口参数,并重启MySQL服务:
port=3506