MySQL 和 PostgreSQL 数据库安全自动化巡检方案

数据库安全自动化扫描：MySQL 和 PostgreSQL 实例巡检利器

作为一名运维工程师，我深知数据库安全的重要性。面对几十个 MySQL 和 PostgreSQL 实例，定期进行安全巡检是一项繁琐但至关重要的任务。手动检查默认用户、开放端口、加密设置等，不仅耗时，还容易遗漏。因此，我一直在寻找一种自动化的解决方案，将我从重复劳动中解放出来，让我能够专注于更复杂的安全问题。

今天，我想分享我实践中使用的一套自动化脚本和工具，可以定期扫描 MySQL 和 PostgreSQL 数据库实例，检查常见的安全配置问题，并提供修复建议。

扫描内容

这套工具主要扫描以下几个方面：

• 默认用户: 检查是否存在 root 等默认用户，并建议禁用或重命名。
• 空密码用户: 查找密码为空的用户，这是安全漏洞的常见来源。
• 开放端口: 扫描数据库实例监听的端口，确保只开放必要的端口，并使用防火墙进行限制。
• 加密设置: 检查数据传输是否加密（例如，使用 SSL/TLS），以及是否启用了数据静态加密。
• 权限配置: 评估用户权限配置是否合理，避免权限过大导致的安全风险。
• 版本信息: 收集数据库版本信息，以便及时了解是否存在已知的安全漏洞。

技术实现

这套工具的核心是一个 Python 脚本，它利用 pymysql 和 psycopg2 库分别连接 MySQL 和 PostgreSQL 数据库，执行相应的安全检查。脚本可以配置为定期运行（例如，通过 cron 任务），并将扫描结果以报告的形式发送到指定邮箱。

以下是一个简化的 MySQL 扫描脚本示例（仅供参考，实际使用中需要根据具体情况进行完善）：

import pymysql

def scan_mysql(host, user, password, database):
    try:
        connection = pymysql.connect(host=host, user=user, password=password, database=database)
        cursor = connection.cursor()

        # 检查默认用户
        cursor.execute("SELECT User FROM mysql.user WHERE User='root'")
        result = cursor.fetchone()
        if result:
            print(f"警告：发现默认用户 root")

        # 检查空密码用户
        cursor.execute("SELECT User FROM mysql.user WHERE authentication_string=''")
        result = cursor.fetchone()
        if result:
            print(f"警告：发现空密码用户")

        # 其他安全检查...

    except pymysql.MySQLError as e:
        print(f"MySQL 扫描出错：{e}")
    finally:
        if connection:
            connection.close()

# 使用示例
scan_mysql(host='127.0.0.1', user='admin', password='password', database='testdb')

修复建议

扫描工具不仅能发现安全问题，还能提供修复建议。例如：

• 禁用或重命名默认用户: RENAME USER 'root'@'localhost' TO 'new_root'@'localhost';
• 为用户设置强密码: ALTER USER 'user'@'host' IDENTIFIED BY 'strong_password';
• 配置防火墙规则: 只允许特定 IP 地址访问数据库端口。
• 启用 SSL/TLS 加密: 配置数据库服务器和客户端使用 SSL/TLS 连接。

总结

自动化数据库安全扫描是一个持续改进的过程。通过定期扫描和及时修复，可以有效降低数据库安全风险，保障数据的安全。希望本文能帮助大家构建自己的数据库安全自动化巡检系统，提升运维效率，将更多精力投入到更有价值的工作中。