MySQL Security

download MySQL Security

of 24

  • date post

    09-May-2015
  • Category

    Technology

  • view

    133
  • download

    0

Embed Size (px)

description

MySQL Security, Measures, Problem, Solutions

Transcript of MySQL Security

  • 1.www.fromdual.com1 / 24MySQL SecurityDOAG 2013 Datenbank14. Mai 2013, DsseldorfOli SennhauserSenior MySQL Berater, FromDual GmbHoli.sennhauser@fromdual.com

2. www.fromdual.com2 / 24ber FromDual GmbH FromDual bietet neutral und unabhngig: Beratung fr MySQL Support fr MySQL und Galera Cluster Remote-DBA Dienstleistungen fr MySQL MySQL Schulungen Oracle Silver Partner (OPN)www.fromdual.com 3. www.fromdual.com3 / 24InhaltHA SolutionsRead scale-outReplication set-up for HAActive/passive fail-overMySQL ClusterReplication ClusterStorage-Engine-ReplicationMySQL SecurityWas ist Security?Probleme, Anforderungen, Konsequenzen, MassnahmenVertraulichkeitIntegrittVerfgbarkeitInformationsquellen 4. www.fromdual.com4 / 24Was ist Security/Sicherheit? Vertraulichkeit Zugriff nur durch autorisierte Nutzer Integritt Vernderung der Daten Nachvollziehbarkeit Verfgbarkeit Verhinderung von Systemausfllen 5. www.fromdual.com5 / 24Sicherheitsprobleme (1) Technische Sicherheitsprobleme Sind einfach in den Griff zu bekommen Hardware geht kaputtGut wenn schnell kaputt Schlecht wenn langsam kaputt CPU, RAM, I/O-Controller, NW, Motherboard Stromausfall Disk luft voll, DB crashed, Replikation bleibt stehen... Monitoring Error Log anschauen! Bugs 6. www.fromdual.com6 / 24Sicherheitsprobleme (2) Menschliche Sicherheitsprobleme Sind etwas schwieriger in den Griff zu bekommen! Unfall: Ups!!!UPDATEempSETsalary=salary+10000;WHEREposition=manager;DROP auf Produktion anstatt auf Entwicklungssystem :-( Interner Datenklau (Schweizer Daten-CDs in D) Externer Angriff (Zerstrung, DoS, Datenklau) Gemss Statistiken kommt interne Angriffe hufiger vorals externe...? 7. www.fromdual.com7 / 24Sicherheitsanforderungen Was sind die Anforderungen? vs. was sind die Kosten? Wie lange darf ein Restore/Recovery dauern? MTTR Welcher Datenverlust kann akzeptiert werden? Alte Daten, neue Daten? Ist es akzeptable, alte Daten erst spterzurckzukriegen? Wer hat Zugriff auf welche Daten? 8. www.fromdual.com8 / 24Konsequenzen Wenn man nicht vorbereitet ist: Firma muss geschlossen werden Rechtliche Konsequenzen Finanzieller Schaden (fristlose) Entlassung Reputationsschaden 9. www.fromdual.com9 / 24Massnahmen Was knnen wir fr die Sicherheit tun? Technische Massnahmen: Backup + Restore + Restore-Tests HA-Lsungen Logging Organisatorische Massnahmen Regelmssige Upgrades (DB, O/S) Zugriffskontrolle/-beschrnkungen 10. www.fromdual.com10 / 24Vertraulichkeit 11. www.fromdual.com11 / 24Warum so pingelig? Fuss in der Tre Hocharbeiten Denial of Service DoS Script Kiddies, Mitbewerber, Erpressung, Schaden Reputationsschaden Datendiebstahl Kunden- oder Produktionsdaten, Steuersnder, etc. Hoster! 100e von Nutzern 12. www.fromdual.com12 / 24Zugriffsbeschrnkung Betriebssystem (root user) Zugriff aufs DB Filesystem! DB Zugriff root von remote? Passwrter: leer, default, gleich, ndern Privilegien: ALLON*.* 13. www.fromdual.com13 / 24Abwehrmassnahmen MySQL Konfiguration .history oder .mysql_history Datenbank NIE Internet aussetzen DMZ Firewall SQL-Firewall gegen Angriff aus der Applikation Bekannte Angriffsziele meiden: phpMyAdmin 14. www.fromdual.com14 / 24Upgrades Upgrade Strategie? 15. www.fromdual.com15 / 24Integritt 16. www.fromdual.com16 / 24Datenintegritt Binary Log General Query Log Logon Trigger (init_connect) Audit Log Plugin (Enterprise Feature) 17. www.fromdual.com17 / 24Verfgbarkeit 18. www.fromdual.com18 / 24Backup + Restore Backup + Binary-Logging Point-in-Time-Recovery (PiTR) Restore-Tests um berraschungen zuvermeiden 19. www.fromdual.com19 / 24Point-in-Time-Recovery (PITR)Application ApplicationApplicationmysqldbin-log.1 bin-log.2 bin-log.n...log_bin=ontfullbackup02:00 14:00 20. www.fromdual.com20 / 24HA Lsungen RAID fr Platten Cluster-Lsungen Master-Slave Replikation Galera Cluster fr MySQL Aktiv/passiv Failover-Cluster SAN/DRBD MySQL Cluster Achtung: NICHT fr logische Fehler Backup! 21. www.fromdual.com21 / 24Galera Cluster fr MySQLApp App AppLoad balancing (LB)Node 2 Node 3Node 1wsrepGalera replicationwsrep wsreprwrwsynchrone Replikation 22. www.fromdual.com22 / 24Galera Cluster fr MySQLApp App AppLoad balancing (LB)Node 2 Node 3Node 1wsrepGalera replicationwsrep wsrep Hardware-Ausfall Wartungsarbeiten HW/OS/DB Upgrade 23. www.fromdual.com23 / 24Informationen http://www.fromdual.com/security MySQL/MariaDB/Percona: Release-Notes Oracle CPU MySQL Dokumentation: Security CVE RedHat Security Advisors full-disclosure@lists.grok.org.uk MySQL Security Forum 24. www.fromdual.com24 / 24Q & AFragen ?Diskussion?Wir haben Zeit fr ein Security Audit... FromDual bietet neutral und unabhngig: Beratung Remote-DBA Support fr MySQL und Galera Cluster Schulungwww.fromdual.com/presentations