MySQL Security
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

MySQL Security

  • 361 views
Uploaded on

MySQL Security, Measures, Problem, Solutions

MySQL Security, Measures, Problem, Solutions

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
361
On Slideshare
361
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
6
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. www.fromdual.com1 / 24MySQL SecurityDOAG 2013 Datenbank14. Mai 2013, DüsseldorfOli SennhauserSenior MySQL Berater, FromDual GmbHoli.sennhauser@fromdual.com
  • 2. www.fromdual.com2 / 24Über FromDual GmbH● FromDual bietet neutral und unabhängig:● Beratung für MySQL● Support für MySQL und Galera Cluster● Remote-DBA Dienstleistungen für MySQL● MySQL Schulungen● Oracle Silver Partner (OPN)www.fromdual.com
  • 3. www.fromdual.com3 / 24InhaltHA Solutions➢Read scale-out➢Replication set-up for HA➢Active/passive fail-over➢MySQL Cluster➢Replication Cluster➢Storage-Engine-ReplicationMySQL Security➢Was ist Security?➢Probleme, Anforderungen, Konsequenzen, Massnahmen➢Vertraulichkeit➢Integrität➢Verfügbarkeit➢Informationsquellen
  • 4. www.fromdual.com4 / 24Was ist Security/Sicherheit?● Vertraulichkeit● Zugriff nur durch autorisierte Nutzer● Integrität● Veränderung der Daten● Nachvollziehbarkeit● Verfügbarkeit● Verhinderung von Systemausfällen
  • 5. www.fromdual.com5 / 24Sicherheitsprobleme (1)● Technische Sicherheitsprobleme● Sind einfach in den Griff zu bekommen● Hardware geht kaputt●Gut wenn schnell kaputt● Schlecht wenn langsam kaputt● CPU, RAM, I/O-Controller, NW, Motherboard● Stromausfall● Disk läuft voll, DB crashed, Replikation bleibt stehen...● Monitoring → Error Log anschauen!● Bugs
  • 6. www.fromdual.com6 / 24Sicherheitsprobleme (2)● Menschliche Sicherheitsprobleme● Sind etwas schwieriger in den Griff zu bekommen!● Unfall: Ups!!!UPDATE emp SET salary = salary + 10000; WHERE position = manager;DROP auf Produktion anstatt auf Entwicklungssystem :-(● Interner Datenklau (Schweizer Daten-CDs in D)● Externer Angriff (Zerstörung, DoS, Datenklau)● Gemäss Statistiken kommt interne Angriffe häufiger vorals externe...?
  • 7. www.fromdual.com7 / 24Sicherheitsanforderungen● Was sind die Anforderungen?● vs. was sind die Kosten?● Wie lange darf ein Restore/Recovery dauern?● MTTR● Welcher Datenverlust kann akzeptiert werden?● Alte Daten, neue Daten?● Ist es akzeptable, alte Daten erst späterzurückzukriegen?● Wer hat Zugriff auf welche Daten?
  • 8. www.fromdual.com8 / 24Konsequenzen● Wenn man nicht vorbereitet ist:● Firma muss geschlossen werden● Rechtliche Konsequenzen● Finanzieller Schaden €€€● (fristlose) Entlassung● Reputationsschaden
  • 9. www.fromdual.com9 / 24Massnahmen● Was können wir für die Sicherheit tun?● Technische Massnahmen:● Backup + Restore + Restore-Tests● HA-Lösungen● Logging● Organisatorische Massnahmen● Regelmässige Upgrades (DB, O/S)● Zugriffskontrolle/-beschränkungen
  • 10. www.fromdual.com10 / 24Vertraulichkeit
  • 11. www.fromdual.com11 / 24Warum so pingelig?● Fuss in der Türe → Hocharbeiten● Denial of Service DoS● Script Kiddies, Mitbewerber, Erpressung, Schaden● Reputationsschaden● Datendiebstahl● Kunden- oder Produktionsdaten, Steuersünder, etc.● Hoster!● 100e von Nutzern
  • 12. www.fromdual.com12 / 24Zugriffsbeschränkung● Betriebssystem (root user)● Zugriff aufs DB Filesystem!● DB Zugriff● root von remote?● Passwörter: leer, default, gleich, ändern● Privilegien: ALL ON *.*
  • 13. www.fromdual.com13 / 24Abwehrmassnahmen● MySQL Konfiguration● .history oder .mysql_history● Datenbank NIE Internet aussetzen → DMZ● Firewall● SQL-Firewall gegen Angriff aus der Applikation● Bekannte Angriffsziele meiden: phpMyAdmin
  • 14. www.fromdual.com14 / 24Upgrades● Upgrade Strategie?
  • 15. www.fromdual.com15 / 24Integrität
  • 16. www.fromdual.com16 / 24Datenintegrität● Binary Log● General Query Log● Logon Trigger (init_connect)● Audit Log Plugin (Enterprise Feature)
  • 17. www.fromdual.com17 / 24Verfügbarkeit
  • 18. www.fromdual.com18 / 24Backup + Restore● Backup + Binary-Logging● Point-in-Time-Recovery (PiTR)● Restore-Tests um Überraschungen zuvermeiden
  • 19. www.fromdual.com19 / 24Point-in-Time-Recovery (PITR)Application ApplicationApplicationmysqldbin-log.1 bin-log.2 bin-log.n...log_bin = ontfullbackup02:00 14:00
  • 20. www.fromdual.com20 / 24HA Lösungen● RAID für Platten● Cluster-Lösungen● Master-Slave Replikation● Galera Cluster für MySQL● Aktiv/passiv Failover-Cluster SAN/DRBD● MySQL Cluster● Achtung: NICHT für logische Fehler → Backup!
  • 21. www.fromdual.com21 / 24Galera Cluster für MySQLApp App AppLoad balancing (LB)Node 2 Node 3Node 1wsrepGalera replicationwsrep wsreprwrwsynchrone Replikation
  • 22. www.fromdual.com22 / 24Galera Cluster für MySQLApp App AppLoad balancing (LB)Node 2 Node 3Node 1wsrepGalera replicationwsrep wsrep● Hardware-Ausfall● Wartungsarbeiten● HW/OS/DB Upgrade
  • 23. www.fromdual.com23 / 24Informationen● http://www.fromdual.com/security● MySQL/MariaDB/Percona: Release-Notes● Oracle CPU● MySQL Dokumentation: Security● CVE● RedHat Security Advisors● full-disclosure@lists.grok.org.uk● MySQL Security Forum
  • 24. www.fromdual.com24 / 24Q & AFragen ?Diskussion?Wir haben Zeit für ein Security Audit...● FromDual bietet neutral und unabhängig:● Beratung● Remote-DBA● Support für MySQL und Galera Cluster● Schulungwww.fromdual.com/presentations