MySQL sicher aufsetzen und betreiben - Heinlein …... 1 / 39 MySQL sicher aufsetzen und betreiben SLAC 2015, Berlin Oli Sennhauser Senior MySQL Consultant, FromDual GmbH [email protected]

www.fromdual.com

1 / 39

MySQL sicheraufsetzen und betreiben

SLAC 2015, Berlin

Oli SennhauserSenior MySQL Consultant, FromDual GmbH

[email protected]

www.fromdual.com

2 / 39

FromDual GmbH

Support

remote-DBA

Schulung

Beratung

www.fromdual.com

3 / 39

Inhalt

MySQL sicher aufsetzen und betreiben

➢ Vorbereitungen➢ Installation➢ Härten➢ Upgrade➢ Konfiguration➢ User Management➢ Verschlüsselung➢ Backup / Restore➢ Hochverfügbarkeit➢ Monitoring➢ Wo lauert das Böse?➢ Angriffsvektoren

www.fromdual.com

4 / 39

Vorbereitung Installation

● Welches O/S, welche Distro?● Windows kann heute auch sicher sein...● Was könnt Ihr am besten?

● Welcher Branch/Fork?● MySQL, MariaDB, Percona, Galera

● Packet, Binary Tarball, oder Source● DEB/RPM von Distribution oder Hersteller

● Distribution oft veraltet● und wie gut gepatched?● und wenn gepachted, wie gut getestet?

● Version● MySQL: 5.5, 5.6, (5.7), MariaDB 5.5, 10.0, (10.1)

www.fromdual.com

5 / 39

Installation

● Durch wen?● Pakete● selber (mysql_install_db)

● Wohin?● /var/lib/mysql● /mount/mysql/data

● Advanced Security macht ärger!● AppArmor● SElinux

● weitere potentielle Problemchen● /etc/mysql/conf.d/debian.cnf (root äquivalent)

● Syslog auf Debian/Ubuntu: die Log-Informationen sind auf nimmer wiedersehen weg, nicht theoretisch sonder praktisch!

www.fromdual.com

6 / 39

Was passiert bei Installation?

● InnoDB Tablespace und Log Files

● MySQL Data Dictionary (mysql Schema)

● Kreiert User (root, anonymous)

● Kreiert test Schema

slac1

● Was ist das Problem?● Härtet jemand von Euch nach Installation?

www.fromdual.com

7 / 39

Härten von MySQL

● Wie:● mysql_secure_installation● leider „kaputt“

● Was:● root Passwort

● root von remote

● test Schema

● anonymous User (''@localhost)

slac1

mailto:''@localhost

www.fromdual.com

8 / 39

Warum härten?

● Root Passwort setzen ist klar?● Nein mir nicht!● Wenn niemand lokal zugriff hat ausser root braucht es dort auch

kein Passwort.

● Root von remote ist klar?● Sogar mir!

● Warum ist der anonymous User (''@server) böse?

slac2

● Warum ist das test Schema böse?

● Insbesondere Hoster/SaaS und Ähnliche aufpassen!!!

www.fromdual.com

9 / 39

Neues Mätzchen mit 5.6

● Seit MySQL 5.6 gilt:● Passwort auf Kommandozeile ist böse, warum?

● Kann mir jemand sagen warum?

slac2

● Früher ~/.my.cnf (chmod 0600)● Scheint heute immer noch sicher!

shell> mysql --user=sicher --password=secret

Warning: Using a password on the command lineInterface can be insecure.

www.fromdual.com

10 / 39

Heute: MySQL Config Editor

● Seit MySQL 5.6 gilt:

● Wieso geht das jetzt???

slac2

● Fortsetzung folgt...

shell> mysql_config_editor set-–login-path=slac2--host=localhost --user=sicher –-password

shell> mysql --login-path=slac2

www.fromdual.com

11 / 39

Und wie cracken?

● Security by Obscurity???● Sicherheitsgewinn?

● Und jetzt wie cracken? :-)

The encryption used by mysql_config_editor prevents passwords fromappearing in .mylogin.cnf as cleartext and provides a measure ofsecurity by preventing inadvertent password exposure. For example,if you display a regular unencrypted my.cnf option file on the screen, anypasswords it contains are visible for anyone to see. With .mylogin.cnf, thatis not true.But the encryption used will not deter a determined attacker and youshould not consider it unbreakable. A user who can gain systemadministration privileges on your machine to access your files coulddecrypt the .mylogin.cnf file with some effort.

www.fromdual.com

12 / 39

Weitere Sicherheitsfeatures

● MySQL CLI: Filter auf password in History● OK. Seh ich ja ein, ist aber mühsam:● grep password ~/.mysql_history

● Installation in 5.7 automatisch sicher● Kein test Schema mehr

● Kein anonymous User mehr● Kein root von Remote mehr

● UND: root@localhost hat default Passwort, welches geändert werden muss...

mailto:[email protected]

www.fromdual.com

13 / 39

Upgrade / Release Cycles?

● Major Releases:● MySQL 5.1, 5.5, 5.6, 5.7 (ca. alle 2 Jahre)● MariaDB 5.1, 5.2, 5.3, 5.5, 10.0, 10.1 (ca. alle 18 Monate)

● Minor Releases:● 5.6.x● MySQL ca. 6 pro Jahr (also alle 2 Monate)● MariaDB ca. 6 pro Jahr (also alle 2 Monate)

● Und jetzt, alle 2 Monate ein Upgrade?● Ja, warum nicht?● Wir haben Testautomation und● automatisierte Deployments (siehe andere Vorträge...)

www.fromdual.com

14 / 39

Upgrade in der Praxis

● Oracle liefert Critical Patch Updates (CPU)● (4 pro Quartal, alle 3 Monate)

● Distributionen ähnliche Zyklen?● ziehen die wirklich alles nach?● Ubuntu Security Notes (USN): alle 3 Monate● RHEL/CentOS?

● potentielle Probleme:● Wer testet wie gut (Distribution / Betreiber)?● Upgrade erfolgt automatisch● Restart der DB-Instanz (Red Hat/CentOS)

● http://fromdual.com/security

http://fromdual.com/security

www.fromdual.com

15 / 39

Upgrade wie tun:

● Major Release NICHT überspringen!● daher mindestens alle 2 Jahre ein upgrade

● Offizielle Methode:● Dump/Restore (aber wie mit meinen 5 Tbyte?)

● Geht meist auch:● Binary Upgrade● ab 5.7 offiziell supportet!!!

● Anschliessend NICHT vergessen:● mysql_upgrade

slac3

www.fromdual.com

16 / 39

Warum kein Upgrade böse?

● Darum: slac4

● Oracle hat Security relevante Bugs heute versteckt...

● Aber, der Findige lässt sich nicht unterkriegen:https://bugzilla.redhat.com/show_bug.cgi?id=919247

● Ich habe keine 15 Minuten gebraucht...

ERROR 2013 (HY000): Lost connection to MySQL server during query

https://bugzilla.redhat.com/show_bug.cgi?id=919247

www.fromdual.com

17 / 39

MySQL Crash

● Crash ist IMMER böse = IMMER ein Bug

150620 14:59:27 [ERROR] mysqld got signal 11 ;This could be because you hit a bug...

Thread pointer: 0x47e10e0Attempting backtrace. You can use the following information to find outwhere mysqld died. If you see no messages after this, something wentterribly wrong...stack_bottom = 0x7f8949817ea8 thread_stack 0x48000mysqld(my_print_stacktrace+0x2e) [0x9c493e]mysqld(handle_segfault+0x3b3) [0x611eb3]/lib/x86_64-linux-gnu/libpthread.so.0(+0x10340) [0x7f8948a70340]mysqld() [0x75aaf0]mysqld(Geometry::append_points(String*, unsigned int, char const*, unsigned int) const+0x4e)mysqld(Gis_polygon::get_data_as_wkt(String*, char const**) const+0xbb) [0x75c68b]mysqld(Item_func_as_wkt::val_str(String*)+0x145) [0x5d6f55]...mysqld(mysql_execute_command(THD*)+0x2d4e) [0x62066e]mysqld(mysql_parse(THD*, char*, unsigned int, char const**)+0x299) [0x623ff9]mysqld(dispatch_command(enum_server_command, THD*, char*, unsigned int)+0xb9b) [0x624b9b]mysqld(do_command(THD*)+0x101) [0x6255b1]mysqld(handle_one_connection+0xdf) [0x61690f]/lib/x86_64-linux-gnu/libpthread.so.0(+0x8182) [0x7f8948a68182]/lib/x86_64-linux-gnu/libc.so.6(clone+0x6d) [0x7f8947f8347d]

Trying to get some variables.Some pointers may be invalid and cause the dump to abort.Query (0x7f88cc004b98): select astext(0x0100000000030000000100000000000010)Connection ID (thread ID): 1Status: NOT_KILLED

www.fromdual.com

18 / 39

Jeder hat seine Leidenschaft

● Es gibt Leute, die sammeln Briefmarken...● Andere sammeln so was:

## Bug #68591: Geometry query crashes mysqld# http://bugs.mysql.com/bug.php?id=68591# https://mariadb.atlassian.net/browse/MDEV4252# https://bugzilla.redhat.com/show_bug.cgi?id=919247## Fixed in: MySQL 5.6.12, 5.5.32, 5.1.70# MariaDB 5.5.30, 5.3.13, 5.2.15, 5.1.73# Happens in: before# Does not happen in: # Public since 201303#

SELECT ASTEXT(0x0100000000030000000100000000000010);

www.fromdual.com

19 / 39

Konfiguration Sicherheit

Name Scope Dynamic

allow_suspicious_udfs Global No

automatic_sp_privileges Global Yes

chroot Global No

des_key_file Global No

local_infile Global Yes

old_passwords Both Yes

safe_user_create Global Yes

secure_auth Global Yes

secure_file_priv Global No

skip_grant_tables Global No

skip_name_resolve Global No

skip_networking Global No

skip_show_database Global No

www.fromdual.com

20 / 39

Konfiguration Ressourcen

● Schlechte Performance● DoS

● Unterallokation● Schlechte Performance (I/O Sättigung)

● Überallokation● Swapping (slow)● kill/crash (32-bit)● oom-killer (service outage)● Einfluss auf andere (VM, noisy neighbours)

● Kosten● Zu fette Hardware

www.fromdual.com

21 / 39

User Management

● Übersicht

● Host:● skip_name_resolve wenn DNS nicht getraut wird oder instabil ist

● IP address spoofing (soll nicht ganz einfach sein)?

● CREATE USER, DROP USER

● Abgelegt unter: mysql.user

● Anonymous User kann immer verbinden (USAGE), in Kombination mit test Schema, siehe oben.

SELECT user, host, password FROM mysql.user;

SHOW GRANTS FOR ''@localhost;

www.fromdual.com

22 / 39

Objekt Privilegien

● Was sind Objekte:● Tabellen, Indices, Views, Procedures, Functions, Triggers, Events, Temporäre Tabellen

● Wer sollte was dürfen?● read-only User:

● SELECT, SHOW DATABASES

● read-write User:● UPDATE INSERT DELETE CREATE TEMPORARY TABLES, LOCK TABLES

● Schema Owner:● ALTER ROUTINE, CREATE ROUTINE, EXECUTE, CREATE VIEW, SHOW VIEW,TRIGGER, INDEX, ALTER, EVENT, REFERENCES, DROP, CREATE

● Privilegien-Hierarchie: Global, Schema, Tabelle/Routine, Spalte● GRANT ... ON schema.table

● GRANT ... ON mysql.xxx vermeiden!

● Liegen unter mysql.{user, db, table_privs, procs_priv, column_privs)

www.fromdual.com

23 / 39

Globale/System Privilegien

● Globale Privilegien:● ALL, USAGE, SUPER, SHUTDOWN, REPLICATION SLAVE, REPLICATION CLIENT, RELOAD, PROXY, PROCESS, CREATE USER, CREATE TABLESPACE, FILE, GRANT OPTION

● Liegen in mysql.user● Was lässt sich so anstellen mit:

● ALL --> alles :-)

● USAGE --> verbinden, siehe oben

● SUPER --> CHANGE MASTER TO, KILL, PURGE BINARY LOGS, SET GLOBAL, Daten änderungen (read_only) Replikation start/stop, Log ein/ausschalten, Definer in Stored Programs ändern (Möglichkeit Privilegien aufzubohren?)

● REPLICATION SLAVE --> Binary Logs remote lesen● PROCESS --> Anderer User Prozesse/Statements einsehen● GRANT OPTION --> Anderen Usern eigene Rechte geben● FILE --> Jedes beliebige File auf dem DB-Server lesen (welches mysql User lesen kann)

● Beispiel FILE

www.fromdual.com

24 / 39

Rollen / externe Authentifizierung

● MySQL kann native keine Rollen● Nicht so tragisch, Rollen heute meist in Applikation abgebildet

● Rolen ab MySQL 5.7.7 mit "expanded Proxy User Support"● http://mysqlblog.fivefarmers.com/2015/04/08/emulating-roles-with-expanded-proxy-user-

support-in-5-7-7/

● MariaDB (10.0.5):● CREATE ROLE myrole;● GRANT ... ON *.* to myrole;● GRANT myrole to oli;

● MySQL Rollen mit PAM plugin● https://www.percona.com/blog/2015/03/02/emulating-roles-percona-pam-plugin-

proxy-users/

● PAM Authentication (Unix, LDAP)● Percona, MariaDB und MySQL Enterprise

www.fromdual.com

25 / 39

Verschlüsselung

● Wer ist der Angreifer?

● Client/Server SSL● App: Record Encryption● MariaDB 10.1.4

Table(space) Encryption● Filesystem Encryption

● Keys aus Memory hacken● Performance Einfluss● Operations/Fehlerbehebung

www.fromdual.com

26 / 39

Zutritt verschaffen

● ~/.my.cnf --> user / password

● ~/.mylogin.cnf --> Entschlüsseln

● /etc/mysql/conf.d/debian.cnf (= root)

● shell> history

● ~/.mysql_history

● $datadir/master.info

● skip_grant_tables● So fertig Security?

www.fromdual.com

27 / 39

Ups!

www.fromdual.com

28 / 39

Backup / Restore

● Backup? Nur für Mädchen...● Bei logischen Fehlern

● Ups Query!● Hardware-Ausfall --> HA Lösung

● Typen von Backup● Logische Backups (mysqldump)● Physische Backups (LVM, xtrabackup)● Delayed Replikation

● Restore● MTTR (Zeit)

● Erlaubter Datenverlust?● Point-in-Time-Recovery (Binary Logs)

● Automatisieren, Testen (regelmässig)● Warum?● Unser Konzept...

www.fromdual.com

29 / 39

Restore regelmässig testen...

Prod QA Test Dev

EntwicklungProduktion

DBA Developer

bcknightly restore

www.fromdual.com

30 / 39

Und jetzt das...

www.fromdual.com

31 / 39

Hochverfügbarkeit (HA)

● Ja, wir haben Sicherheit!● Ja, wir haben Backup!● Was passiert bei Hardwareausfall???

● MTTR bei Hardwareausfall?● Redundanz

● Hilft aber nicht bei logischen Fehlern!

● Master/Slave, Galera● Delayed Replikation für logische Fehler

www.fromdual.com

32 / 39

Automatisches Failover

● KISS● Ihr müsst mit Eurem HA umgehen können...!

● Umschalten● voll manuell● halb-automatisch● voll-automatisch

● Wer entscheidet ob failover oder nicht?● Voll-automatisch kling verlockend!● Oft falsche Failovers, da schwierig zu entscheiden

● Wir empfehlen: halb-automatisch...

www.fromdual.com

33 / 39

Monitoring

● Wie stellen wir fest, dass was schief läuft/lief?● Überwachen (Monitoring)

● Notfall● Trends● MySQL Error log.

● Lösungen:● FromDual Plugins für Nagios● FromDual Performance Monitor für MySQL und MariaDB● MySQL Enterprise Monitor

● Critical:● DB up/down● Filesystem full● Replikation läuft

● Alles andere:● Nice to have (Performance Graphen)

www.fromdual.com

34 / 39

Wo lauert das Böse?

● Personen (eher Datenklau als Zerstörung)● Hardware-Schrauber● Unix-Admin (root)● DBA (kein root?)● Entwickler?● Endnutzer (Sales?)● Sonstige (Putzfrau, Chef, ...)

● Hintermänner:● Ehemalige Mitarbeiter● Konkurrenz / Geheimdienste● Kriminelle Organisationen, Erpressung, DoS

● Äussere Einflüsse (eher Zerstörung als Datenklau)● Wasser (Stausee, Hochwasser, Flutwelle, Lawine)● Feuer, Blitz, Sturm, KKW● Erbeben, Erdrutsche● Hochseefrachter :-)● Terror- und/oder Bombenanschläge (Philipinen)● Kriegerische Handlungen (Ukraine, „nuclear bomb blast on the city of London“)● Sonstige Sabotage-Akte

www.fromdual.com

35 / 39

Angriffsvektoren

Prod QA Test Dev

EntwicklungProduktion

bck

File / Disk

?

www.fromdual.com

36 / 39

Beispiele aus der Praxis

www.fromdual.com

37 / 39

Literatur

● FromDual Security: http://www.fromdual.com/security● MySQL Docu:

http://dev.mysql.com/doc/refman/5.6/en/security.html● MySQL Enterprise Security:

http://dev.mysql.com/doc/refman/5.6/en/mysql-enterprise-security.html

● Security in MySQL: http://dev.mysql.com/doc/mysql-security-excerpt/5.6/en/index.html

● What is new in MySQL 5.7: http://dev.mysql.com/doc/refman/5.7/en/mysql-nutshell.html

● Security Vulnerabilities Fixed in MariaDB: https://mariadb.com/kb/en/mariadb/security/

www.fromdual.com

38 / 39

Wir suchen noch:

MySQL Datenbank Enthusiast/in für Support / remote-DBA / Beratung

www.fromdual.com

39 / 39

Q & A

Fragen ?

Diskussion?

Wir haben Zeit für ein persönliches Gespräch...

● FromDual bietet neutral und unabhängig:● Beratung

● Remote-DBA

● Support für MySQL, Galera, Percona Server und MariaDB

● Schulung

www.fromdual.com/presentations

MySQL sicher aufsetzen und betreiben - Heinlein …... 1 / 39 MySQL sicher aufsetzen und betreiben SLAC 2015, Berlin Oli Sennhauser Senior MySQL Consultant, FromDual GmbH [email protected]

Text of MySQL sicher aufsetzen und betreiben - Heinlein …... 1 / 39 MySQL sicher aufsetzen und betreiben...

AnleitungzurInstallationundKonﬁgurationdes MySQL …members.gaponline.de/strobelmax/MySQL/mysql09/u_i9_01.pdf · 2009/2010 InstallationundKonﬁgurationdesMySQL-Datenbanksystems

MySQL Security für Oracle DBAs - FromDual · MySQL Security für Oracle DBAs DOAG Konferenz 2016, Nürnberg Oli Sennhauser Senior MySQL Consultant, FromDual GmbH [email protected]

Wearing the headset | Headset aufsetzen | SC 260

MySQL Enterprise - October, 2010 · October, 2010. MySQL Kunden MySQL ... Revenue and Productivity ... Debugging InnoDB Locks using the new InnoDB Plugin’s Information Schema Tables

Synchrone multi-Master Replikation für MySQL - doag.org file 1 / 23 Synchrone multi-Master Replikation für MySQL DOAG SIG-MySQL 2013, München Oli Sennhauser Senior MySQL Consultant,

MySQL für Oracle DBAs - MySQL, Galera Cluster and MariaDB ... · MySQL für Oracle DBAs Einsatz von MySQL Installation, ... mysql5.7.1linuxx86_64.tar.gz ... Kostenpflichtiges Modul?

Handbuch System Configurator - Webland.ch · phpMyAdmin MySQL Datenbank Allgemein Passwort für eine MySQL Datenbank ändern. System Configurator MySQL Datenbank Benutzer mit Leserechten

MySQL 5.1 Referenzhandbuch - uni-leipzig.de€¦ · MySQL 5.1 Referenzhandbuch Dies ist eine Übersetzung des MySQL-Referenzhandbuchs, das sich auf dev.mysql.com befindet. Das ursprüngliche

"WordPress Blog Aufsetzen und Pimpen"

MySQL 5.1 Referenzhandbuch - geo.infokom-gt.de€¦ · MySQL 5.1 Referenzhandbuch Dies ist eine Übersetzung des MySQL-Referenzhandbuchs, das sich aufdev.mysql.com befindet. Das ursprüngliche

FROSCON 2011: MySQL Replication

DOAG 2011: MySQL Replication

MySQL 5.1 Referenzhandbuch · MySQL 5.1 Referenzhandbuch Dies ist eine Übersetzung des MySQL-Referenzhandbuchs, das sich auf dev.mysql.com befindet. Das ursprüngliche Referenzhandbuch

MySQL for Oracle DBAs

MySQL 5.7 JSON und GIS - fromdual.com€¦ · MySQL 5.7 JSON und GIS FrOSCon 2016 Cédric Bruderer MySQL Support Engineer, FromDual GmbH [email protected]. 2 / 21 Über

MySQL Performance Tuning für Entwickler - fromdual.com · 1 / 29 MySQL Performance Tuning für Entwickler Linux-Tage 2015, Chemnitz Oli Sennhauser Senior MySQL Consultant, FromDual

MySQL lernen - Anfangen, anwenden, verstehen mysql < mycommands.sql Database musikschule mysql test raum_id raum_name etage personen 1 A5.33 5

Formstabile Kontaktlinsen richtig aufsetzen, reinigen und ... · Formstabile Kontaktlinsen richtig aufsetzen, reinigen und pflegen Bitte reinigen Sie sich immer die Hände, bevor

MySQL Backup/Recovery

MySQL Performance Tuning für Entwickler - FromDual · 1 / 29 MySQL Performance Tuning für Entwickler Linux-Tage 2015, Chemnitz Oli Sennhauser Senior MySQL Consultant, FromDual GmbH

NoSQL with MySQL

MySQl - "after select"

MySQL Replication for Beginners

DOAG: NoSQL with MySQL

MySQL Backup und Security - guug.deGUUG-Hamburg-MySQLBackup...$ mysql u root mysql mysql> SET PASSWORD FOR [email protected]=PASSWORD('new_password'); • Entfernen des anonymous Benutzers

MySQL Backup

SelfSQL: SQL − Tutorial für Anfängerhome.mengelke.de/html-php-mysql/mysql/SelfMySQL/downloads/selfSQL.pdf · der Firma "MySQL AB". Aber auch ohne diese Datenbank ist man nicht

MySQL Hochverfügbarkeitslösungen

MySql Code Review

MySQL Security

Documents

MySQL sicher aufsetzen und betreiben - Heinlein …... 1 / 39 MySQL sicher aufsetzen und betreiben SLAC 2015, Berlin Oli Sennhauser Senior MySQL Consultant, FromDual GmbH [email protected]

Text of MySQL sicher aufsetzen und betreiben - Heinlein …... 1 / 39 MySQL sicher aufsetzen und betreiben...