等保要求mysql整改项

等保要求mysql整改项
1.配置密码复杂度
看当前复杂度配置
show variables like ‘validate_password%’;

安装插件
install plugin validate_password SONAME ‘validate_password.so’;

创建简单密码测试

2.应启用登录失败处理功能

install plugin CONNECTION_CONTROL soname ‘connection_control.so’;
install plugin CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS soname ‘connection_control.so’;

connection_control_min_connection_delay 上面的意思是失败连接超过3次，连接延时1秒

修改配置文件，连接测试

可以看出失败超过5次，连接延时6秒
（会影响所有ip连接）
3.启用ssl连接
1.生成证书
/data/db/mysql-5.7.26/bin/mysql_ssl_rsa_setup -d /data/conf/mysqldb/

2.修改权限
cd /data/conf/mysqldb && chown mysql.mysql ./*
3.修改配置文件/data/conf/mysqldb/my.cnf ，添加证书
ssl-ca=/data/conf/mysqldb/ca.pem
ssl-cert=/data/conf/mysqldb/server-cert.pem
ssl-key=/data/conf/mysqldb/server-key.pem
重启数据库，连接

4.启用ssl证书后抓包测试
配置用户：
grant all privileges on . to 用户@’%’ identified by ‘密码’ require ssl;
flush privileges;
（测试发现使用root去连接，抓包也是加密过的，并没配置要求使用 ssl）

连接抓包测试：
tcpdump -s 0 -l -w - dst 172.xx.xx.xx and port 3306 |strings
可以看出已经加密

另一台没启用ssl的则能把语句抓取出来

只授权库权限给某个用户
grant 权限 on 数据库.* to ‘用户名’@‘登录主机’ INDENTIFIED BY ‘用户密码’;
修改root用户
update user set user=‘xxxx’ where user=‘root’;