MySQLの監査と外部認証

今日は、MySQL DBMSをPCI DSS標準に近づける方法を説明します。 開始するには、次のものを入手します。

コンソール管理ユーザーmcshadow

  mcshadow：〜$ mysql --user = mcshadow --password = mike
 mysql> select current_user（）;
 + ---------------- +
 |  current_user（）|
 + ---------------- +
 |  mike @ localhost |
 + ---------------- +
 mcshadow：〜$ mysql --user = mcshadow --password = root
 mysql> select current_user（）;
 + ---------------- +
 |  current_user（）|
 + ---------------- +
 |  root @ localhost |
 + ---------------- + 

アクセスは、root権限と一般ユーザーmikeの権限の両方で可能です。

---

マイクモータルコンソール

 マイク：〜$ mysql --user = mcshadow --password = mike
エラー1698（28000）：ユーザー 'mcshadow' @ 'localhost'のアクセスが拒否されました 

管理者の下でデータベースにアクセスすることはできません。

---

一方、syslogで

<sup>mysqld：ユーザー：mcshadow TRYアクセス：localhost権限：mike

mysqld：ユーザー：mcshadow SUCCESSアクセス：localhost権限：mike

mysql：SYSTEM_USER： 'mcshadow'、MYSQL_USER： 'mcshadow'、CONNECTION_ID：5、DB_SERVER： '-'、DB： '-'、COMMAND_RESULT：SUCCESS、QUERY： 'select current_user（）;'

mysqld：ユーザー：mcshadow TRYアクセス：localhost：特権：root

mysqld：ユーザー：mcshadow SUCCESSアクセス：localhost権限：root

mysql：SYSTEM_USER： 'mcshadow'、MYSQL_USER： 'mcshadow'、CONNECTION_ID：6、DB_SERVER： '-'、DB： '-'、COMMAND_RESULT：SUCCESS、QUERY： 'select current_user（）;'

mysqld：ユーザー：mcshadow TRYアクセス：localhost権限：mike

mysqld：ユーザー：mcshadowからのアクセスに失敗しました：localhost with権限：mike</sup>

はじめに

この投稿は本当に必要な人にお勧めです。「今日は簡単になります」というフレーズがありましたが、記事の執筆の終わりに、うまくいかなかったことに気付きました。

MySQLを大企業でDBMSとして使用する場合、次のような問題が発生します。MySQLにはユーザー定義のパスワードポリシーがありません。 使用するパスワードの有効期限切れのトリッキーなスキームを設定したり、組織で採用されている標準を満たすために新しいパスワードを制御したり、SSOシステムを使用してデータベースに接続したりすることはできません。 また、データベースへの接続の成功および失敗のすべての試行と、セキュリティ担当者のコンソールに対するDBA権限を持つユーザーのアクションを記録すると非常に便利です。 これに加えて、ログインの下でデータベースにアクセスしたいことがよくありますが、たとえば、インストールを実行したり、エラーを取得する特定のアクションを実行したりするために、別のユーザーの権限が必要です。 さらに、このユーザーのパスワードを知らないこと、およびすべてのアクションがセキュリティログに正しく反映されることを確認することをお勧めします。 他のデータベースでは、もちろんすべてではなく、これらのアイテムの一部を作成できます。 バージョン5.5.7以降のMySQLでは、データベースに不要な負荷をかけることなく、それらのいずれかを実行できます。

この記事は本質的に教育的なものであり、説明したものを含め、あらゆる目的でこれらのソリューションを使用することは、あなたの良心のみに基づいています。

理論

次に、何をどこで入手するかについて話しましょう。 ご存知のように、これが機能するためには、外部ライブラリを構築する必要があります。 さて、「経験のある」応募者として、私たちは自分で何も書くことはありません。完成したものを取り、あるソースから別のソースに単純に転送します。

まず、perkonaからMySQLクライアントのロギングを取得します。 MySQL 5.5.XとPercona 5.5.Xのソースを比較すると、Perkonクライアントがすべてをsyslogに記録できるという事実だけが違いますが、オプションでこれを行います。 実際、これらのソースコードの一部をドラッグするだけです。 これをデフォルト設定にします。 コピーと貼り付けを台無しにするのが怖い場合は、perkonaのソースMySQLクライアントを使用できます。

2番目：理解しているように、データベースへの入力試行のログはサーバーで実行する必要があります。 ここでは選択肢がほとんどありません。 何をログに記録する必要があるかを理解するにはどうすればよいですか？ MySQLソースではすべてが単純です。log.ccファイルがあります。これはgeneral_logを担当します 。 このログは、成功した接続試行と失敗した接続試行を含む、データベースで発生したすべてを正常に記録します。 すべてうまくいきますが、動作は非常に遅くなります。産業用データベースに含めないことを強くお勧めします。 このログは、何をどこで探すべきかを理解するために必要です。 現時点でこのファイルによると、 general_log_printおよびgeneral_log_writeログへの記録を許可する実装は2つだけです。 ここで汗をかき、何をどこで変えるかを注意深く見なければなりません。

3番目：おそらく私たちにとって最も興味深いのは、MySQL 5.5.7 GRANT PROXYの新機能です。

  GRANT PROXY
   ON 'priv_user' @ 'localhost'
   TO 'real_user' @ 'localhost'; 

これが機能するには、ユーザーreal_userを特別な方法で作成する必要があります

  CREATE USER 'real_user' @ 'localhost'
   'auth_plugin_xxx' AS 'auth_string'で識別されました; 

これで、real_userユーザーに接続するとき、パスワードはマッスル自体だけでなく、サードパーティのプラグインauth_plugin_xxxに置くことができます。 このプラグインを自分で作成できます。tynt 、開発者向けです。テストを行う目的で、例として、MySQLは実験用のプラグインをすでにいくつか作成しています。 私たちはそれらを遊びの基礎として取ります。 このプラグインが必要な最も重要なことは、内部ロジックに基づいて、セッションに特権が適用されるユーザー名フィールドを置き換えることができることです。 real_userがなりすましユーザーとしてプロキシ権限を持っている場合、MySQLはすべてのpriv_userユーザー権限を正常に付与します。 このプラグインでは、内部プロトコルまたはldapサーバーに従ってSSOに呼び出しをプッシュし、他のロジックを作成できます。

今のところ、十分な理論-ソースコードでMySQL 5.5.15をダウンロードします。

練習する

1つ目は、ローカルマシンから管理者のアクションを記録することです。 データベース管理者はサーバー管理者ではなく、ソケットまたはTCP経由のコンソールからのみデータベースにアクセスできると考えています。これは重要ではありません。 サーバーを管理するには、これで十分です。 mysql.ccでは 、次の行を追加する必要があります。

#include <violite.h> //     Linux   syslog #ifndef __WIN__ #include "syslog.h" #endif ... void tee_putc(int c, FILE *file); //       void write_syslog(String *buffer); ... //       Percona        .     : mysql_error(&mysql)[0] void write_syslog(String *line){ #ifndef __WIN__ uint length= line->length(); uint chunk_len= min(MAX_SYSLOG_MESSAGE, length); char *ptr= line->c_ptr_safe(); char buff[MAX_SYSLOG_MESSAGE + 1]; for (; length; length-= chunk_len, ptr+= chunk_len, chunk_len= min(MAX_SYSLOG_MESSAGE, length)) { char *str; if (length == chunk_len) str= ptr; // last chunk => skip copy else { memcpy(buff, ptr, chunk_len); buff[chunk_len]= '\0'; str= buff; } syslog(LOG_INFO, "SYSTEM_USER:'%s', MYSQL_USER:'%s', CONNECTION_ID:%lu, " "DB_SERVER:'%s', DB:'%s', COMMAND_RESULT:%s, QUERY:'%s'", getenv("SUDO_USER") ? getenv("SUDO_USER") : getenv("USER") ? getenv("USER") : "--", current_user ? current_user : "--", mysql_thread_id(&mysql), current_host ? current_host : "--", current_db ? current_db : "--", mysql_error(&mysql)[0]?"FAILED":"SUCCESS", str); } #endif } ... #endif /*HAVE_READLINE*/ //       #ifndef __WIN__ if (buffer->length() && connect_flag == CLIENT_INTERACTIVE){ write_syslog(buffer); } #endif
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

二番目。 サーバー側のログイン試行を処理するメインモジュールはsql_acl.ccです。 general_log_printをすべて呼び出した後、独自のものを追加する必要があります。 おわかりのように、 general_logは無効になっていますが、ヒントは非常に優れています。 現在、2番目のコマンド（ general_log_write ）は、ユーザーをデータベースに接続しようとしたときに呼び出されません。 次のようになりました（新しいブロックはPCI DSSパッチによって割り当てられます）：

 // PCI DSS patch #ifndef __WIN__ #include "syslog.h" #endif // end PCI DSS patch ... //  login_failed_error -      general_log_print(thd, COM_CONNECT, ER(ER_ACCESS_DENIED_NO_PASSWORD_ERROR), mpvio->auth_info.user_name, mpvio->auth_info.host_or_ip); // PCI DSS patch syslog(LOG_WARNING, "User:%s FAILED access from:%s with privileges:%s", mpvio->auth_info.user_name, mpvio->auth_info.host_or_ip, mpvio->auth_info.authenticated_as); // end PCI DSS patch ... general_log_print(thd, COM_CONNECT, ER(ER_ACCESS_DENIED_ERROR), mpvio->auth_info.user_name, mpvio->auth_info.host_or_ip, passwd_used ? ER(ER_YES) : ER(ER_NO)); // PCI DSS patch syslog(LOG_WARNING, "User:%s FAILED access from:%s with privileges:%s", mpvio->auth_info.user_name, mpvio->auth_info.host_or_ip, mpvio->auth_info.authenticated_as); // end PCI DSS patch ... //  secure_auth -        if (mpvio->client_capabilities & CLIENT_PROTOCOL_41) { my_error(ER_SERVER_IS_IN_SECURE_AUTH_MODE, MYF(0), mpvio->auth_info.user_name, mpvio->auth_info.host_or_ip); general_log_print(thd, COM_CONNECT, ER(ER_SERVER_IS_IN_SECURE_AUTH_MODE), mpvio->auth_info.user_name, mpvio->auth_info.host_or_ip); // PCI DSS patch syslog(LOG_WARNING, "User:%s FAILED access from:%s with privileges:%s", mpvio->auth_info.user_name, mpvio->auth_info.host_or_ip, mpvio->auth_info.authenticated_as); // end PCI DSS patch } else { my_error(ER_NOT_SUPPORTED_AUTH_MODE, MYF(0)); general_log_print(thd, COM_CONNECT, ER(ER_NOT_SUPPORTED_AUTH_MODE)); // PCI DSS patch syslog(LOG_WARNING, "Auth mode not supported"); // end PCI DSS patch } ... //  send_plugin_request_packet -             general_log_print(current_thd, COM_CONNECT, ER(ER_NOT_SUPPORTED_AUTH_MODE)); // PCI DSS patch syslog(LOG_WARNING, "Auth mode not supported"); // end PCI DSS patch ... // find_mpvio_user general_log_print(current_thd, COM_CONNECT, ER(ER_NOT_SUPPORTED_AUTH_MODE)); // PCI DSS patch syslog(LOG_WARNING, "Auth mode not supported"); // end PCI DSS patch ... //  acl_authenticate -      main   if (strcmp(mpvio.auth_info.authenticated_as, mpvio.auth_info.user_name)) { general_log_print(thd, command, "%s@%s as %s on %s", mpvio.auth_info.user_name, mpvio.auth_info.host_or_ip, mpvio.auth_info.authenticated_as ? mpvio.auth_info.authenticated_as : "anonymous", mpvio.db.str ? mpvio.db.str : (char*) ""); // PCI DSS patch syslog(LOG_WARNING, "User:%s TRY access from:%s with privileges:%s", mpvio.auth_info.user_name, mpvio.auth_info.host_or_ip, mpvio.auth_info.authenticated_as); // end PCI DSS patch } else { general_log_print(thd, command, (char*) "%s@%s on %s", mpvio.auth_info.user_name, mpvio.auth_info.host_or_ip, mpvio.db.str ? mpvio.db.str : (char*) ""); // PCI DSS patch syslog(LOG_WARNING, "User:%s TRY access from:%s with privileges:%s", mpvio.auth_info.user_name, mpvio.auth_info.host_or_ip, mpvio.auth_info.authenticated_as); // end PCI DSS patch } ... if (res > CR_OK && mpvio.status != MPVIO_EXT::SUCCESS) { DBUG_ASSERT(mpvio.status == MPVIO_EXT::FAILURE); if (!thd->is_error()) login_failed_error(&mpvio, mpvio.auth_info.password_used); DBUG_RETURN (1); } // PCI DSS patch else syslog(LOG_WARNING, "User:%s SUCCESS access from:%s with privileges:%s", mpvio.auth_info.user_name, mpvio.auth_info.host_or_ip, mpvio.auth_info.authenticated_as); // end PCI DSS patch
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

残念ながら、それだけではありません。 認証はさらに2つの場所で実行されることがわかります。 1つ目は、 use databaseコマンドを実行しようとしたときです。 sql_db.ccモジュールがこれを担当し、一般ログを呼び出した後、mysql_change_db関数がその中にあり、 幸いなことに、行を追加します。

  general_log_print(thd, COM_INIT_DB, ER(ER_DBACCESS_DENIED_ERROR), sctx->priv_user, sctx->priv_host, new_db_file_name.str); // PCI DSS patch syslog(LOG_WARNING, "User:%s FAILED access from:%s with privileges:%s", sctx->proxy_user, sctx->priv_host, sctx->priv_user); // end PCI DSS patch
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

最後に、ユーザーが利用できないデータベース情報をユーザーが表示した瞬間にログインする必要があります。 sql_show.ccモジュールがこれを担当します。 名前が雄弁mysqld_show_create_dbのプロシージャ。 追加：

  general_log_print(thd,COM_INIT_DB,ER(ER_DBACCESS_DENIED_ERROR), sctx->priv_user, sctx->host_or_ip, dbname); // PCI DSS patch syslog(LOG_WARNING, "User:%s FAILED access from:%s with privileges:%s", sctx->proxy_user, sctx->priv_host, sctx->priv_user); // end PCI DSS patch
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

POSIXによると、 syslog関数はマルチスレッドをサポートしていますが、落ちることはありません。 クリティカルセクションには入りませんでしたが、それほど遅くなることはありません。

いいね！ これで、私たちの権利がどのように、どこで変化しているかをログで読むことができます。 小規模の場合はそのままです。 Zayuzatの新機能。 ソースコードのプラグインディレクトリに移動すると、 最大 2つの認証プラグインが表示されます。これは贈り物です。 最初のauth_socket.c-ソケットが使用されている場合、オペレーティングシステムのユーザーとしてデータベースにログインできます。 まあ、より良いものがないため、私たちはそれを使用します-これが私たちのSSOです。 次のプラグイン-test_plugin.c-は次のように機能します。 ユーザーを作成するとき、プラグイン名の後に神秘的な行AS 'auth_string'を指定します。 プラグインはパスワードをこの行と比較します。 一致するものが見つからない場合、エラーがスローされます;すべてがうまくいった場合、名前が ' auth_string 'であるユーザーの特権がセッションに割り当てられます。 プラグインは、あなた自身がテストを理解しており、メカニズムが機能していることを確認するためだけのものです。

文書によると、プラグインはユーザー名を変更するか、またはこのために特別に指定された新しいinfo-> authenticate_asフィールドを使用して書き込み、パスワードを設定することしかできません

 #define PASSWORD_USED_NO 0 #define PASSWORD_USED_YES 1 #define PASSWORD_USED_NO_MENTION 2
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ホストの変更で問題が発生したため、リスクを冒しませんでした。 すべてLANのみ。

2つの関数のいずれかを作成し、テスト認証プラグインに押し込みます（突然、別のシステムで使用されています...）

 static int auth_test_plugin(MYSQL_PLUGIN_VIO *vio, MYSQL_SERVER_AUTH_INFO *info) { unsigned char *pkt; int pkt_len; MYSQL_PLUGIN_VIO_INFO vio_info; struct ucred cred; socklen_t cred_len= sizeof(cred); struct passwd pwd_buf, *pwd; char buf[1024]; /*   */ if (vio->write_packet(vio, (const unsigned char *) PASSWORD_QUESTION, 1)) return CR_ERROR; /*   */ if ((pkt_len= vio->read_packet(vio, &pkt)) < 0) return CR_ERROR; /*       */ info->password_used= PASSWORD_USED_NO_MENTION; /*        */ strcpy (info->authenticated_as, (const char *) pkt); vio->info(vio, &vio_info); if (vio_info.protocol != MYSQL_VIO_SOCKET) return CR_ERROR; /* get the UID of the client process */ if (getsockopt(vio_info.socket, SOL_SOCKET, SO_PEERCRED, &cred, &cred_len)) return CR_ERROR; if (cred_len != sizeof(cred)) return CR_ERROR; /* and find the username for this uid */ getpwuid_r(cred.uid, &pwd_buf, buf, sizeof(buf), &pwd); if (pwd == NULL) return CR_ERROR; /*        MySQL */ return strcmp(pwd->pw_name, info->user_name) ? CR_ERROR : CR_OK; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に行きます

 cmake -DCMAKE_INSTALL_PREFIX = / opt / mysql-5.5.15-これは私たちが置かれているフォルダーであり、筋肉を殺したくない。
作る
インストールする

データベースを構成し、ルートとしてログインし、次のアクションを実行します。

プラグインtest_plugin_server soname 'auth_test_plugin.so'をインストールします。
プラグインを表示します。
 + ----------------------- + -------- + ---------------- ---- + --------------------- + --------- +
 | 名前| ステータス| タイプ| 図書館| ライセンス|
 + ----------------------- + -------- + ---------------- ---- + --------------------- + --------- +
 ...
 |  test_plugin_server | アクティブ| 認証|  auth_test_plugin.so |  GPL |
 + ----------------------- + -------- + ---------------- ---- + --------------------- + --------- +
ユーザー「mike」@「localhost」を作成します。
 「test_plugin_server」で「volki」として識別されるユーザー「mcshadow」@「localhost」を作成します。
 「root」@「localhost」のプロキシを「mcshadow」@「localhost」に付与します。
 「mike」@「localhost」のプロキシを「mcshadow」@「localhost」に付与します。
 select * from mysql.proxies_priv;
 + ----------- + ---------- + ----------------- + -------- ------ + ------------ + ---------------- + ------------- -------- +
 | ホスト| ユーザー|  Proxied_host |  Proxied_user |  With_grant | 助成者| タイムスタンプ|
 + ----------- + ---------- + ----------------- + -------- ------ + ------------ + ---------------- + ------------- -------- +
 ...
 | ローカルホスト|  mcshadow | ローカルホスト| ルート|  0 |  root @ localhost |  2011-08-17 01:15:09 |
 | ローカルホスト|  mcshadow | ローカルホスト| マイク|  0 |  root @ localhost |  2011-08-17 01:30:35 |
 + ----------- + ---------- + ----------------- + -------- ------ + ------------ + ---------------- + ------------- -------- +

実際、これですべてです-これで、root権限またはプロキシが許可されている他のユーザーのアカウントでデータベースにログインできます。 表からわかるように、まだgrant optionで設定できますが、純粋に私見ではこれはすでに不要です。

おわりに

もちろん、これまでのところ、解決策は湿っています。何が機能し、何が機能しないかが明確ではないからです。 たとえば、私が試したすべてが私のために働いたが、まだ完全な自信はない。 理解を深めるために、単体テストのリスト-plugin_auth.resultを読むことができます。このプラグインはmysql-test \ r フォルダーにあります （ svetasmirnovaのヒントのおかげです ）が、一般にGRANT PROXYについての情報はほとんどありません。 これらの作業の結果に基づいて、 diff-Nurを分割し、RPMを収集します-産業用データベースでこのソリューションを（実際のプログラマーによるレビューの後）駆動しようとします。 あなたを失望させないことを願っています（パパパ）。

勉強！ 今すぐ参加しよう！ あなたの経験を共有してください！