Beruflich Dokumente
Kultur Dokumente
com
MySQL sicher
aufsetzen und betreiben
SLAC 2015, Berlin
Oli Sennhauser
Senior MySQL Consultant, FromDual GmbH
oli.sennhauser@fromdual.com
1 / 39
FromDual GmbH
www.fromdual.com
Support
Beratung
remote-DBA
Schulung
2 / 39
Inhalt
www.fromdual.com
Vorbereitungen
Installation
Hrten
Upgrade
Konfiguration
User Management
Verschlsselung
Backup / Restore
Hochverfgbarkeit
Monitoring
Wo lauert das Bse?
Angriffsvektoren
3 / 39
Vorbereitung Installation
Welcher Branch/Fork?
www.fromdual.com
Version
Installation
www.fromdual.com
Durch wen?
Pakete
selber (mysql_install_db)
Wohin?
/var/lib/mysql
/mount/mysql/data
AppArmor
SElinux
www.fromdual.com
slac1
www.fromdual.com
Wie:
mysql_secure_installation
leider kaputt
Was:
root Passwort
test Schema
7 / 39
Warum hrten?
www.fromdual.com
Sogar mir!
www.fromdual.com
www.fromdual.com
Fortsetzung folgt...
10 / 39
www.fromdual.com
Security by Obscurity???
Sicherheitsgewinn?
Weitere Sicherheitsfeatures
www.fromdual.com
www.fromdual.com
Major Releases:
MySQL
MariaDB 5.1, 5.2, 5.3, 5.5, 10.0, 10.1 (ca. alle 18 Monate)
Minor Releases:
5.6.x
www.fromdual.com
RHEL/CentOS?
potentielle Probleme:
http://fromdual.com/security
14 / 39
Offizielle Methode:
www.fromdual.com
Binary Upgrade
mysql_upgrade
slac3
15 / 39
Darum:
www.fromdual.com
slac4
MySQL Crash
www.fromdual.com
www.fromdual.com
Konfiguration Sicherheit
Name
Scope
Dynamic
allow_suspicious_udfs
Global
No
automatic_sp_privileges
Global
Yes
chroot
Global
No
des_key_file
Global
No
local_infile
Global
Yes
old_passwords
Both
Yes
safe_user_create
Global
Yes
secure_auth
Global
Yes
secure_file_priv
Global
No
skip_grant_tables
Global
No
skip_name_resolve
Global
No
skip_networking
Global
No
skip_show_database
Global
No
www.fromdual.com
19 / 39
Konfiguration Ressourcen
Schlechte Performance
DoS
Unterallokation
www.fromdual.com
berallokation
Swapping (slow)
kill/crash (32-bit)
Kosten
Zu fette Hardware
20 / 39
User Management
www.fromdual.com
bersicht
SELECT user, host, password FROM mysql.user;
SHOW GRANTS FOR ''@localhost;
Host:
CREATEUSER,DROPUSER
Objekt Privilegien
read-only User:
SELECT,SHOWDATABASES
read-write User:
UPDATEINSERTDELETECREATETEMPORARYTABLES,LOCKTABLES
Schema Owner:
ALTERROUTINE,CREATEROUTINE,EXECUTE,CREATEVIEW,SHOWVIEW,
TRIGGER,INDEX,ALTER,EVENT,REFERENCES,DROP,CREATE
GRANT...ONschema.table
GRANT...ONmysql.xxxvermeiden!
www.fromdual.com
22 / 39
Globale/System Privilegien
Globale Privilegien:
ALL,USAGE,SUPER,SHUTDOWN,REPLICATIONSLAVE,REPLICATIONCLIENT,
RELOAD,PROXY,PROCESS,CREATEUSER,CREATETABLESPACE,FILE,GRANT
OPTION
Liegen in mysql.user
www.fromdual.com
FILE --> Jedes beliebige File auf dem DB-Server lesen (welches mysql User lesen kann)
Beispiel FILE
23 / 39
www.fromdual.com
http://mysqlblog.fivefarmers.com/2015/04/08/emulating-roles-with-expanded-proxy-usersupport-in-5-7-7/
MariaDB (10.0.5):
CREATEROLEmyrole;
GRANT...ON*.*tomyrole;
GRANTmyroletooli;
https://www.percona.com/blog/2015/03/02/emulating-roles-percona-pam-pluginproxy-users/
24 / 39
Verschlsselung
Client/Server SSL
www.fromdual.com
MariaDB 10.1.4
Table(space) Encryption
Filesystem Encryption
Performance Einfluss
Operations/Fehlerbehebung
25 / 39
Zutritt verschaffen
www.fromdual.com
/etc/mysql/conf.d/debian.cnf (= root)
shell>history
~/.mysql_history
$datadir/master.info
skip_grant_tables
So fertig Security?
26 / 39
Ups!
www.fromdual.com
27 / 39
Backup / Restore
Ups Query!
Delayed Replikation
Restore
MTTR (Zeit)
Erlaubter Datenverlust?
www.fromdual.com
Warum?
Unser Konzept...
28 / 39
Entwicklung
Produktion
Prod
www.fromdual.com
QA
Test
Dev
bck
nightly restore
DBA
Developer
29 / 39
www.fromdual.com
30 / 39
Hochverfgbarkeit (HA)
Redundanz
www.fromdual.com
Master/Slave, Galera
31 / 39
Automatisches Failover
KISS
www.fromdual.com
Umschalten
voll manuell
halb-automatisch
voll-automatisch
Monitoring
berwachen (Monitoring)
Notfall
Trends
www.fromdual.com
Lsungen:
Critical:
DB up/down
Filesystem full
Replikation luft
Alles andere:
33 / 39
www.fromdual.com
Hardware-Schrauber
Unix-Admin (root)
Entwickler?
Endnutzer (Sales?)
Hintermnner:
Ehemalige Mitarbeiter
Konkurrenz / Geheimdienste
Erbeben, Erdrutsche
Hochseefrachter :-)
Sonstige Sabotage-Akte
34 / 39
Angriffsvektoren
Entwicklung
Produktion
Prod
www.fromdual.com
QA
Test
Dev
File / Disk
bck
35 / 39
www.fromdual.com
36 / 39
Literatur
www.fromdual.com
www.fromdual.com
Q&A
www.fromdual.com
Fragen ?
Diskussion?
Wir haben Zeit fr ein persnliches Gesprch...
Beratung
Remote-DBA
Schulung
www.fromdual.com/presentations
39 / 39