www.fromdual.com1 / 24MySQL SecurityDOAG 2013 Datenbank14. Mai 2013, DüsseldorfOli SennhauserSenior MySQL Berater, FromDua...
www.fromdual.com2 / 24Über FromDual GmbH● FromDual bietet neutral und unabhängig:● Beratung für MySQL● Support für MySQL u...
www.fromdual.com3 / 24InhaltHA Solutions➢Read scale-out➢Replication set-up for HA➢Active/passive fail-over➢MySQL Cluster➢R...
www.fromdual.com4 / 24Was ist Security/Sicherheit?● Vertraulichkeit● Zugriff nur durch autorisierte Nutzer● Integrität● Ve...
www.fromdual.com5 / 24Sicherheitsprobleme (1)● Technische Sicherheitsprobleme● Sind einfach in den Griff zu bekommen● Hard...
www.fromdual.com6 / 24Sicherheitsprobleme (2)● Menschliche Sicherheitsprobleme● Sind etwas schwieriger in den Griff zu bek...
www.fromdual.com7 / 24Sicherheitsanforderungen● Was sind die Anforderungen?● vs. was sind die Kosten?● Wie lange darf ein ...
www.fromdual.com8 / 24Konsequenzen● Wenn man nicht vorbereitet ist:● Firma muss geschlossen werden● Rechtliche Konsequenze...
www.fromdual.com9 / 24Massnahmen● Was können wir für die Sicherheit tun?● Technische Massnahmen:● Backup + Restore + Resto...
www.fromdual.com10 / 24Vertraulichkeit
www.fromdual.com11 / 24Warum so pingelig?● Fuss in der Türe → Hocharbeiten● Denial of Service DoS● Script Kiddies, Mitbewe...
www.fromdual.com12 / 24Zugriffsbeschränkung● Betriebssystem (root user)● Zugriff aufs DB Filesystem!● DB Zugriff● root von...
www.fromdual.com13 / 24Abwehrmassnahmen● MySQL Konfiguration● .history oder .mysql_history● Datenbank NIE Internet aussetz...
www.fromdual.com14 / 24Upgrades● Upgrade Strategie?
www.fromdual.com15 / 24Integrität
www.fromdual.com16 / 24Datenintegrität● Binary Log● General Query Log● Logon Trigger (init_connect)● Audit Log Plugin (Ent...
www.fromdual.com17 / 24Verfügbarkeit
www.fromdual.com18 / 24Backup + Restore● Backup + Binary-Logging● Point-in-Time-Recovery (PiTR)● Restore-Tests um Überrasc...
www.fromdual.com19 / 24Point-in-Time-Recovery (PITR)Application ApplicationApplicationmysqldbin-log.1 bin-log.2 bin-log.n....
www.fromdual.com20 / 24HA Lösungen● RAID für Platten● Cluster-Lösungen● Master-Slave Replikation● Galera Cluster für MySQL...
www.fromdual.com21 / 24Galera Cluster für MySQLApp App AppLoad balancing (LB)Node 2 Node 3Node 1wsrepGalera replicationwsr...
www.fromdual.com22 / 24Galera Cluster für MySQLApp App AppLoad balancing (LB)Node 2 Node 3Node 1wsrepGalera replicationwsr...
www.fromdual.com23 / 24Informationen● http://www.fromdual.com/security● MySQL/MariaDB/Percona: Release-Notes● Oracle CPU● ...
www.fromdual.com24 / 24Q & AFragen ?Diskussion?Wir haben Zeit für ein Security Audit...● FromDual bietet neutral und unabh...
Upcoming SlideShare
Loading in...5
×

MySQL Security

167

Published on

MySQL Security, Measures, Problem, Solutions

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
167
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

MySQL Security

  1. 1. www.fromdual.com1 / 24MySQL SecurityDOAG 2013 Datenbank14. Mai 2013, DüsseldorfOli SennhauserSenior MySQL Berater, FromDual GmbHoli.sennhauser@fromdual.com
  2. 2. www.fromdual.com2 / 24Über FromDual GmbH● FromDual bietet neutral und unabhängig:● Beratung für MySQL● Support für MySQL und Galera Cluster● Remote-DBA Dienstleistungen für MySQL● MySQL Schulungen● Oracle Silver Partner (OPN)www.fromdual.com
  3. 3. www.fromdual.com3 / 24InhaltHA Solutions➢Read scale-out➢Replication set-up for HA➢Active/passive fail-over➢MySQL Cluster➢Replication Cluster➢Storage-Engine-ReplicationMySQL Security➢Was ist Security?➢Probleme, Anforderungen, Konsequenzen, Massnahmen➢Vertraulichkeit➢Integrität➢Verfügbarkeit➢Informationsquellen
  4. 4. www.fromdual.com4 / 24Was ist Security/Sicherheit?● Vertraulichkeit● Zugriff nur durch autorisierte Nutzer● Integrität● Veränderung der Daten● Nachvollziehbarkeit● Verfügbarkeit● Verhinderung von Systemausfällen
  5. 5. www.fromdual.com5 / 24Sicherheitsprobleme (1)● Technische Sicherheitsprobleme● Sind einfach in den Griff zu bekommen● Hardware geht kaputt●Gut wenn schnell kaputt● Schlecht wenn langsam kaputt● CPU, RAM, I/O-Controller, NW, Motherboard● Stromausfall● Disk läuft voll, DB crashed, Replikation bleibt stehen...● Monitoring → Error Log anschauen!● Bugs
  6. 6. www.fromdual.com6 / 24Sicherheitsprobleme (2)● Menschliche Sicherheitsprobleme● Sind etwas schwieriger in den Griff zu bekommen!● Unfall: Ups!!!UPDATE emp SET salary = salary + 10000; WHERE position = manager;DROP auf Produktion anstatt auf Entwicklungssystem :-(● Interner Datenklau (Schweizer Daten-CDs in D)● Externer Angriff (Zerstörung, DoS, Datenklau)● Gemäss Statistiken kommt interne Angriffe häufiger vorals externe...?
  7. 7. www.fromdual.com7 / 24Sicherheitsanforderungen● Was sind die Anforderungen?● vs. was sind die Kosten?● Wie lange darf ein Restore/Recovery dauern?● MTTR● Welcher Datenverlust kann akzeptiert werden?● Alte Daten, neue Daten?● Ist es akzeptable, alte Daten erst späterzurückzukriegen?● Wer hat Zugriff auf welche Daten?
  8. 8. www.fromdual.com8 / 24Konsequenzen● Wenn man nicht vorbereitet ist:● Firma muss geschlossen werden● Rechtliche Konsequenzen● Finanzieller Schaden €€€● (fristlose) Entlassung● Reputationsschaden
  9. 9. www.fromdual.com9 / 24Massnahmen● Was können wir für die Sicherheit tun?● Technische Massnahmen:● Backup + Restore + Restore-Tests● HA-Lösungen● Logging● Organisatorische Massnahmen● Regelmässige Upgrades (DB, O/S)● Zugriffskontrolle/-beschränkungen
  10. 10. www.fromdual.com10 / 24Vertraulichkeit
  11. 11. www.fromdual.com11 / 24Warum so pingelig?● Fuss in der Türe → Hocharbeiten● Denial of Service DoS● Script Kiddies, Mitbewerber, Erpressung, Schaden● Reputationsschaden● Datendiebstahl● Kunden- oder Produktionsdaten, Steuersünder, etc.● Hoster!● 100e von Nutzern
  12. 12. www.fromdual.com12 / 24Zugriffsbeschränkung● Betriebssystem (root user)● Zugriff aufs DB Filesystem!● DB Zugriff● root von remote?● Passwörter: leer, default, gleich, ändern● Privilegien: ALL ON *.*
  13. 13. www.fromdual.com13 / 24Abwehrmassnahmen● MySQL Konfiguration● .history oder .mysql_history● Datenbank NIE Internet aussetzen → DMZ● Firewall● SQL-Firewall gegen Angriff aus der Applikation● Bekannte Angriffsziele meiden: phpMyAdmin
  14. 14. www.fromdual.com14 / 24Upgrades● Upgrade Strategie?
  15. 15. www.fromdual.com15 / 24Integrität
  16. 16. www.fromdual.com16 / 24Datenintegrität● Binary Log● General Query Log● Logon Trigger (init_connect)● Audit Log Plugin (Enterprise Feature)
  17. 17. www.fromdual.com17 / 24Verfügbarkeit
  18. 18. www.fromdual.com18 / 24Backup + Restore● Backup + Binary-Logging● Point-in-Time-Recovery (PiTR)● Restore-Tests um Überraschungen zuvermeiden
  19. 19. www.fromdual.com19 / 24Point-in-Time-Recovery (PITR)Application ApplicationApplicationmysqldbin-log.1 bin-log.2 bin-log.n...log_bin = ontfullbackup02:00 14:00
  20. 20. www.fromdual.com20 / 24HA Lösungen● RAID für Platten● Cluster-Lösungen● Master-Slave Replikation● Galera Cluster für MySQL● Aktiv/passiv Failover-Cluster SAN/DRBD● MySQL Cluster● Achtung: NICHT für logische Fehler → Backup!
  21. 21. www.fromdual.com21 / 24Galera Cluster für MySQLApp App AppLoad balancing (LB)Node 2 Node 3Node 1wsrepGalera replicationwsrep wsreprwrwsynchrone Replikation
  22. 22. www.fromdual.com22 / 24Galera Cluster für MySQLApp App AppLoad balancing (LB)Node 2 Node 3Node 1wsrepGalera replicationwsrep wsrep● Hardware-Ausfall● Wartungsarbeiten● HW/OS/DB Upgrade
  23. 23. www.fromdual.com23 / 24Informationen● http://www.fromdual.com/security● MySQL/MariaDB/Percona: Release-Notes● Oracle CPU● MySQL Dokumentation: Security● CVE● RedHat Security Advisors● full-disclosure@lists.grok.org.uk● MySQL Security Forum
  24. 24. www.fromdual.com24 / 24Q & AFragen ?Diskussion?Wir haben Zeit für ein Security Audit...● FromDual bietet neutral und unabhängig:● Beratung● Remote-DBA● Support für MySQL und Galera Cluster● Schulungwww.fromdual.com/presentations
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×