mysqlセキュリティログ
- ポートへのmysql接続試行、ログイン試行、およびユーザー名、IPアドレス、日時で成功した回数をログに記録できるログはありますか?総当たり攻撃を検出しようとしています。
- Mysql自動ブルートフォース遅延をセットアップする方法はありますか?
オプションは、セットアップすることです [〜#〜] ossec [〜#〜] (ホストベースの侵入検知システム):
デフォルトのmysqlルールセットには、以下のチェックが含まれています。
rule-id-50105データベース認証が成功しました。
rule-id-50106データベース認証の失敗。
rule-id-50107データベースクエリ。
rule-id-50108ユーザーはデータベースから切断されました。
rule-id-50120データベースシャットダウンメッセージ。
rule-id-50121データベース起動メッセージ。
rule-id-50125データベースエラー。
rule-id-50126データベースの致命的なエラー。
rule-id-50180複数のデータベースエラー。
http://www.ossec.net/doc/rules/rules/50_mysql_rules.xml.html
アラートは、必要な情報の一部を提供します(タイムスタンプ、日時、ユーザー名など)。また、独自のOSSECルールを簡単に作成して、詳細をキャプチャしたり、複雑なルールやアクションを作成したりすることもできます。
Mysqlに接続している人がいる場合、すでに深刻な問題が発生しています。ファイアウォールの設定を変更して、信頼できるホストだけが接続できるようにし、他の誰もでないようにする必要があります。
攻撃者は、1,000,000のサイズのボットネットを簡単に呼び出して、MySQLサーバーをブルートフォース攻撃する可能性があります。この問題にはホワイトリストのアプローチが必要です。