MySQL Security
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

MySQL Security

on

  • 340 views

MySQL Security, Measures, Problem, Solutions

MySQL Security, Measures, Problem, Solutions

Statistics

Views

Total Views
340
Views on SlideShare
340
Embed Views
0

Actions

Likes
0
Downloads
5
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

MySQL Security Presentation Transcript

  • 1. www.fromdual.com1 / 24MySQL SecurityDOAG 2013 Datenbank14. Mai 2013, DüsseldorfOli SennhauserSenior MySQL Berater, FromDual GmbHoli.sennhauser@fromdual.com
  • 2. www.fromdual.com2 / 24Über FromDual GmbH● FromDual bietet neutral und unabhängig:● Beratung für MySQL● Support für MySQL und Galera Cluster● Remote-DBA Dienstleistungen für MySQL● MySQL Schulungen● Oracle Silver Partner (OPN)www.fromdual.com
  • 3. www.fromdual.com3 / 24InhaltHA Solutions➢Read scale-out➢Replication set-up for HA➢Active/passive fail-over➢MySQL Cluster➢Replication Cluster➢Storage-Engine-ReplicationMySQL Security➢Was ist Security?➢Probleme, Anforderungen, Konsequenzen, Massnahmen➢Vertraulichkeit➢Integrität➢Verfügbarkeit➢Informationsquellen
  • 4. www.fromdual.com4 / 24Was ist Security/Sicherheit?● Vertraulichkeit● Zugriff nur durch autorisierte Nutzer● Integrität● Veränderung der Daten● Nachvollziehbarkeit● Verfügbarkeit● Verhinderung von Systemausfällen
  • 5. www.fromdual.com5 / 24Sicherheitsprobleme (1)● Technische Sicherheitsprobleme● Sind einfach in den Griff zu bekommen● Hardware geht kaputt●Gut wenn schnell kaputt● Schlecht wenn langsam kaputt● CPU, RAM, I/O-Controller, NW, Motherboard● Stromausfall● Disk läuft voll, DB crashed, Replikation bleibt stehen...● Monitoring → Error Log anschauen!● Bugs
  • 6. www.fromdual.com6 / 24Sicherheitsprobleme (2)● Menschliche Sicherheitsprobleme● Sind etwas schwieriger in den Griff zu bekommen!● Unfall: Ups!!!UPDATE emp SET salary = salary + 10000; WHERE position = manager;DROP auf Produktion anstatt auf Entwicklungssystem :-(● Interner Datenklau (Schweizer Daten-CDs in D)● Externer Angriff (Zerstörung, DoS, Datenklau)● Gemäss Statistiken kommt interne Angriffe häufiger vorals externe...?
  • 7. www.fromdual.com7 / 24Sicherheitsanforderungen● Was sind die Anforderungen?● vs. was sind die Kosten?● Wie lange darf ein Restore/Recovery dauern?● MTTR● Welcher Datenverlust kann akzeptiert werden?● Alte Daten, neue Daten?● Ist es akzeptable, alte Daten erst späterzurückzukriegen?● Wer hat Zugriff auf welche Daten?
  • 8. www.fromdual.com8 / 24Konsequenzen● Wenn man nicht vorbereitet ist:● Firma muss geschlossen werden● Rechtliche Konsequenzen● Finanzieller Schaden €€€● (fristlose) Entlassung● Reputationsschaden
  • 9. www.fromdual.com9 / 24Massnahmen● Was können wir für die Sicherheit tun?● Technische Massnahmen:● Backup + Restore + Restore-Tests● HA-Lösungen● Logging● Organisatorische Massnahmen● Regelmässige Upgrades (DB, O/S)● Zugriffskontrolle/-beschränkungen
  • 10. www.fromdual.com10 / 24Vertraulichkeit
  • 11. www.fromdual.com11 / 24Warum so pingelig?● Fuss in der Türe → Hocharbeiten● Denial of Service DoS● Script Kiddies, Mitbewerber, Erpressung, Schaden● Reputationsschaden● Datendiebstahl● Kunden- oder Produktionsdaten, Steuersünder, etc.● Hoster!● 100e von Nutzern
  • 12. www.fromdual.com12 / 24Zugriffsbeschränkung● Betriebssystem (root user)● Zugriff aufs DB Filesystem!● DB Zugriff● root von remote?● Passwörter: leer, default, gleich, ändern● Privilegien: ALL ON *.*
  • 13. www.fromdual.com13 / 24Abwehrmassnahmen● MySQL Konfiguration● .history oder .mysql_history● Datenbank NIE Internet aussetzen → DMZ● Firewall● SQL-Firewall gegen Angriff aus der Applikation● Bekannte Angriffsziele meiden: phpMyAdmin
  • 14. www.fromdual.com14 / 24Upgrades● Upgrade Strategie?
  • 15. www.fromdual.com15 / 24Integrität
  • 16. www.fromdual.com16 / 24Datenintegrität● Binary Log● General Query Log● Logon Trigger (init_connect)● Audit Log Plugin (Enterprise Feature)
  • 17. www.fromdual.com17 / 24Verfügbarkeit
  • 18. www.fromdual.com18 / 24Backup + Restore● Backup + Binary-Logging● Point-in-Time-Recovery (PiTR)● Restore-Tests um Überraschungen zuvermeiden
  • 19. www.fromdual.com19 / 24Point-in-Time-Recovery (PITR)Application ApplicationApplicationmysqldbin-log.1 bin-log.2 bin-log.n...log_bin = ontfullbackup02:00 14:00
  • 20. www.fromdual.com20 / 24HA Lösungen● RAID für Platten● Cluster-Lösungen● Master-Slave Replikation● Galera Cluster für MySQL● Aktiv/passiv Failover-Cluster SAN/DRBD● MySQL Cluster● Achtung: NICHT für logische Fehler → Backup!
  • 21. www.fromdual.com21 / 24Galera Cluster für MySQLApp App AppLoad balancing (LB)Node 2 Node 3Node 1wsrepGalera replicationwsrep wsreprwrwsynchrone Replikation
  • 22. www.fromdual.com22 / 24Galera Cluster für MySQLApp App AppLoad balancing (LB)Node 2 Node 3Node 1wsrepGalera replicationwsrep wsrep● Hardware-Ausfall● Wartungsarbeiten● HW/OS/DB Upgrade
  • 23. www.fromdual.com23 / 24Informationen● http://www.fromdual.com/security● MySQL/MariaDB/Percona: Release-Notes● Oracle CPU● MySQL Dokumentation: Security● CVE● RedHat Security Advisors● full-disclosure@lists.grok.org.uk● MySQL Security Forum
  • 24. www.fromdual.com24 / 24Q & AFragen ?Diskussion?Wir haben Zeit für ein Security Audit...● FromDual bietet neutral und unabhängig:● Beratung● Remote-DBA● Support für MySQL und Galera Cluster● Schulungwww.fromdual.com/presentations