笔记：Mysql的安全策略

1，安装安全插件

1.检查是否已安装该插件

SELECT PLUGIN_NAME, PLUGIN_STATUS
FROM INFORMATION_SCHEMA.PLUGINS
WHERE PLUGIN_NAME = 'validate_password';

2.安装插件

INSTALL PLUGIN validate_password SONAME 'validate_password.so';

3.修改配置文件

vi /etc/my.cnf[mysqld]
validate_password = on
validate_password_policy = 1
plugin-load-add=validate_password.so
#服务器在启动时加载插件，并防止在服务器运行时删除插件。
validate-password=FORCE_PLUS_PERMANENT

4.重启数据库

service mysqld restart

5，参数

validate_password_dictionary_file：插件用于验证密码强度的字典文件路径，策略为STRONG才需要。
validate_password_length：密码最小长度，参数默认为8，它有最小值的限制，最小值为：validate_password_number_count + validate_password_special_char_count + (2 * validate_password_mixed_case_count)
validate_password_mixed_case_count：密码至少要包含的小写字母个数和大写字母个数。
validate_password_number_count：密码至少要包含的数字个数。
validate_password_policy：密码强度检查等级，0/LOW、1/MEDIUM、2/STRONG。有以下取值：
Policy Tests Performed
0 or LOW Length
1 or MEDIUM Length; numeric, lowercase/uppercase, and special characters
2 or STRONG Length; numeric, lowercase/uppercase, and special characters; dictionary file
默认是1，即MEDIUM，所以刚开始设置的密码必须符合长度，且必须含有数字，小写或大写字母，特殊字符。
validate_password_special_char_count：密码至少要包含的特殊字符数。

2，MySQL口令复杂度配置

通过设置validate_password_policy来改变密码的复杂性要求，使用validate_password_length来设置密码的最小长度。以下是设置这些参数的示例：
– 设置密码复杂性要求，可以是LOW, MEDIUM, STRONG或者0到15的数字

SET GLOBAL validate_password_policy = 'STRONG';

– 设置密码最小长度

SET GLOBAL validate_password_length = 8;

– 设置密码不能是常见密码

SET GLOBAL validate_password_mixed_case_count = 1;

– 设置密码中必须包含的数字数量

SET GLOBAL validate_password_number_count = 1;

– 设置密码中必须包含的特殊字符数量

SET GLOBAL validate_password_special_char_count = 1;

2，密码失效次数

1，安装插件

install plugin CONNECTION_CONTROL soname 'connection_control.so';
install plugin CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS soname 'connection_control.so';

2，配置限制

vim /etc/my.cnfconnection-control-failed-connections-threshold=5   #登陆失败次数限制
connection-control-min-connection-delay=300000    #限制重试时间，此处为毫秒，注意按需求换算，此处为5分钟

重启服务

show variables like '%connection_control%';

3，卸载插件

UNINSTALL PLUGIN CONNECTION_CONTROL;
UNINSTALL PLUGIN CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS;

4，参数

connection_control_failed_connections_threshold：失败登陆次数达到此值后触发延迟。值域：[0, INT_MAX32(2147483647)]，0表示关闭此功能。默认值为3。
connection_control_max_connection_delay：登陆发生延迟时，延迟的最大时间；此值必须大于等于connection_control_min_connection_delay。值域：[1,INT_MAX32(2147483647)]。默认值：INT_MAX32。单位：毫秒。
connection_control_min_connection_delay：登陆发生延迟时，延迟的最小时间，此值必须小于等于connection_control_max_connection_delay。值域：[1000, INT_MAX32(2147483647)]。默认值：1000。单位：毫秒。

3，Mysql数据库配置超时自动退出功能

超时设置为1800秒，可以在my.cnf文件的[mysqld]部分添加以下行：

[mysqld]
wait_timeout = 1800
interactive_timeout = 1800