2024年3月5日发(作者:)
1. MS15-034/CVE-2015-1635 HTTP远程代码执行漏洞
1.1 漏洞清单
序号
1
漏洞信息
MS15-034/CVE-2015-1635 HTTP远程代码执行漏洞
影响范围
117.71.20.4
1.2 加固方案
安装此补丁即可,系统会重启
1.3 回退方案
1、控制面板-添加删除程序,如下图右键删除程序即可
1/36
2/36
1.4 加固结果
未加固,需要搭建并行替换系统后方可加固
2. Redis 未授权访问漏洞
2.1 漏洞清单
序号
1
漏洞信息
Redis 未授权访问漏洞【原理扫描】
Redis 配置不当可直接导致服务器被控制【原理扫描】
影响范围
117.71.20.14
117.71.20.111
2.2 加固方案
找到cd /usr/local/etc/中的,用vi 编辑,在 中找到“requirepass”字段,取消注释并在后面填上需要的密码即可;需要重启系统才能生效;
注:因为是主从设备请联系redis搭建人员确认加固方案风险
3/36
2.3 回退方案
找到cd /usr/local/etc/中的,用vi 编辑,在 中找到“requirepass”字段,注释即可;需要重启系统才能生效
注:因为是主从设备请联系redis搭建人员确认加固方案风险
2.4 加固结果
已经加固
3. PostgreSQL数据库空密码漏洞
3.1 漏洞清单
序号
1 PostgreSQL数据库空密码漏洞
漏洞信息 影响范围
117.71.20.100
3.2 加固方案
如psql的默认用户为postgres,1、使用su – postgres进入postgres用户模式,2、使用psql –l查看用户,3、使用psql进入数据库输入ALTER USER postgres WITH PASSWORD '复杂密码',再输入psql进入数据库输入select * from pg_shadow就能看见加过密的密码了。
4/36
3.3 回退方案
如psql的默认用户为postgres,1、使用su – postgres进入postgres用户模式,2、使用psql –l查看用户,3、使用psql进入数据库输入ALTER USER postgres WITH PASSWORD 紧靠的双引号啥都不输入,再输入psql进入数据库输入select * from pg_shadow就没有密码了。
3.4 加固结果
已经加固
4. MySQL/MariaDB Server用户存在弱口令
4.1 漏洞清单
序号
1 MySQL/MariaDB Server用户存在弱口令
漏洞信息 影响范围
117.71.20.104
117.71.20.106
117.71.20.24
5/36
4.2 加固方案
> mysql -u root [password]
mysql> UPDATE user SET Password=PASSWORD('[new_password]') WHERE user='vulnerable_user';
mysql> FLUSH PRIVILEGES。
4.3 回退方案
> mysql -u root [password]
mysql> UPDATE user SET Password=PASSWORD('[不设置密码]') WHERE user='vulnerable_user';
mysql> FLUSH PRIVILEGES。
4.4 加固结果
已经加固
6/36
5. 猜测出远程MySQL数据库服务存在可登录的用户名口令
5.1 漏洞清单
序号
1
漏洞信息
猜测出远程MySQL数据库服务存在可登录的用户名口令
影响范围
117.71.20.104
117.71.20.106
117.71.20.24
5.2 加固方案
1. 登录mysql服务器:
mysql -u root –p
2. 选择 MySQL 数据库
mysql> use mysql;
3. 修改 nmuser 密码
mysql> update user set password=PASSWORD(“NEWPASSWORD”) where User=’nmuser’;
4. 重置权限
7/36
mysql> flush privileges;
mysql> quit
5.3 回退方案
1. 登录mysql服务器:
mysql -u root –p
2. 选择 MySQL 数据库
mysql> use mysql;
3. 修改 nmuser 密码
mysql> update user set password=PASSWORD(“NEWPASSWORD”) where User=’nmuser’;
4. 重置权限
mysql> flush privileges;
mysql> quit
8/36
5.4 加固结果
已经加固
6. vsftpd FTP Server 'ls.c' 远程拒绝服务漏洞(CVE-2011-0762)
6.1 漏洞清单
序号
1
漏洞信息
vsftpd FTP Server 'ls.c' 远程拒绝服务漏洞(CVE-2011-0762)
影响范围
134.82.17.242
6.2 加固方案
1、下载:
软件名为的安装包
2、编译源代码:
tar xvzf (解压,并进入解压后目录vsftpd-3.0.2)
make
9/36
make install
3、安装配置:
cp /etc
cp vsftpd-3.0.2/ /etc/pam.d/ftp (用户身份识别)
4、编辑配置:
用vi打开,默认的不用管他了
直接在最后一行加上Listen=YES(独立的VSFTPD服务器)
Anonymous=yes 用#注释掉
5、启动服务:
/usr/local/bin/vsftpd &
用netstat -tnl查看,如果有21端口证明已经安装配置成功
这个时候已经能用FTP,但不能使用匿名访问。
6、本地用户名访问:
mkdir /var/ftp
10/36
chown zc /var/ftp
chown dmp /var/ftp
chown wz /var/ftp
chmod og-w /var/ftp
这样就能匿名访问。如果还不清楚的话可以参考安装 帮助more INSTALL
7、关闭匿名访问
配置ftp的验证方式 #vim /etc/pam.d/vsftpd 将其改为:
修改主配置文件,关闭匿名用户 将下面的语句加入即可: Anonymous_enable=no
* 取消根目录的写权限:
#chown root ~ftp && chmod 0555 ~ftp
8、开机自启动
chkconfig vsftpd --level 3 off
或者直接修改/etc/xinetd.d/vsftpd文件,把disable=no改成disable=yes就行了!
用vi打开、etc/在里面加入service xinetd start(stop) /usr/local/bin/vsftpd & 即可。
11/36
6.3 回退方案
复制原有的vsftpd配置和数据到其他的目录,以便及时恢复
6.4 加固结果
已经加固
7. apache漏洞
7.1 漏洞清单
序号 漏洞信息
Apache APR-util apr_brigade_split_line函数远程拒绝服务漏洞
Apache expat big2_toUtf8()函数XML文件解析拒绝服务漏洞
Apache Expat UTF-8字符XML解析远程拒绝服务漏洞(CVE-2009-3720)
Apache HTTP Server "mod_proxy"反向代理安全限制绕过漏洞
Apache HTTP Server “ap_pregsub()”函数本地权限提升漏洞
Apache HTTP Server “httpOnly” Cookie信息泄露漏洞(CVE-2012-0053)
Apache HTTP Server balancer_handler函数跨站脚本漏洞
Apache HTTP Server 'LD_LIBRARY_PATH'不安全库加载任意代码执行漏洞
Apache HTTP Server mod_cache和mod_dav模块远程拒绝服务漏洞(CVE-2010-1452)
Apache HTTP Server mod_headers模块权限许可和访问控制漏洞(CVE-2013-5704)
影响范围
1 117.71.20.125
12/36
Apache HTTP Server mod_proxy Reverse代理模式安全限制绕过漏洞
Apache HTTP Server mod_proxy_ajp拒绝服务漏洞
Apache HTTP Server mod_proxy_ajp模块拒绝服务漏洞
Apache HTTP Server mod_proxy反向代理模式安全限制绕过漏洞
Apache HTTP Server 'mod_status'远程代码执行漏洞(CVE-2014-0226)
Apache HTTP Server 'protocol.c'远程拒绝服务漏洞
Apache HTTP Server Scoreboard本地安全限制绕过漏洞
Apache HTTP Server多个拒绝服务漏洞(CVE-2013-6438)
Apache HTTP Server多个拒绝服务漏洞(CVE-2014-0098)
Apache HTTP Server多个模块主机名和URI跨站脚本漏洞(CVE-2012-3499)
Apache HTTP Server日志内终端转义序列命令注入漏洞(CVE-2013-1862)
Apache HTTP Server远程拒绝服务漏洞(CVE-2013-1896)
Apache HTTP Server远程拒绝服务漏洞(CVE-2014-0118)
Apache HTTP Server远程拒绝服务漏洞(CVE-2014-0231)
Apache mod_proxy_http模块超时处理信息泄露漏洞
Apache Portable Runtime和HTTP Server 'fnmatch()'栈消耗漏洞(CVE-2011-0419)
7.2 加固方案
一、使用cp或者mv移走/usr/local/apache2文件夹,或者采用其他数据备份的方式
二、使用rpm –qa httpd 查看httpd版本,在使用rpm –qa | grep httpd显示httpd相关文件,接着使用rpm –e XXX删除显示的httpd相关文件和依赖文件
1、安装:
13/36
按顺序依次安装软件名的安装包
三、1解压安装
tar zxvf
cd apr-1.5.2
./configure
make
make install
2解压安装
tar zxvf
cd apr-util-1.5.4
./configure --with-apr=/usr/local/apr
make
make install
3解压安装
14/36
tar zxvf
cd pcre2-10.20
./configure
make
make install
4安装6.x86_
yum install 6.x86_
5解压安装
tar zxvf
cd httpd-2.4.20
./configure
make
make install
6启动apache服务
[root@localhost bin]# /usr/local/apache2/bin/apachectl start
15/36
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using omain. Set the 'ServerName'
directive globally to suppress this message
httpd (pid 7861) already running
在浏览器输入127.0.0.1会出现“It works!”说明更新成功,然后再根据前配置配置/apache2/conf/里面的即可
7.3 回退方案
一、使用rpm –qa httpd 查看httpd版本,在使用rpm –qa | grep httpd显示httpd相关文件,接着使用rpm –e XXX删除显示的httpd相关文件和依赖文件
二、使用cp或者mv把之前备份文件考回/usr/local/文件夹,或者采用其他方式恢复
7.4 加固结果
已经加固
16/36
8. apache tomcat 漏洞
8.1 漏洞清单
序号
1
漏洞信息
Apache Tomcat Security Manager绕过漏洞(CVE-2014-7810)
Apache Tomcat 安全漏洞(CVE-2014-0227)
Apache Tomcat拒绝服务漏洞(CVE-2014-0230)
影响范围
117.71.20.106
117.71.20.24
8.2 加固方案
一、使用cp或者mv移走/usr/local/apache tomcat文件夹,或者采用其他数据备份的方式
1、安装的安装包
二、1解压安装
mv apache-tomcat-6.0.45 /usr/local //将解压后的apache-tomcat-6.0.45目录移动到/usr/local目录,特别说明,一般的安装文件都放到/usr/local目录下。
cd /usr/local
cd apache-tomcat-6.0.45/bin
sh //启动apache-tomcat服务
17/36
打开IE浏览器,输入127.0.0.1:8080打开tomcat主页更新成功。
8.3 回退方案
使用cp或者mv把之前备份文件考回/usr/local/文件夹,或者采用其他方式恢复
8.4 加固结果
已经加固
9. openssh 漏洞
9.1 漏洞清单
序号 漏洞信息
OpenSSH glob表达式拒绝服务漏洞(CVE-2010-4755)
OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478)
Openssh MaxAuthTries限制绕过漏洞(CVE-2015-5600)
OpenSSH roaming_common.c堆缓冲区溢出漏洞(CVE-2016-0778)
OpenSSH sshd mm_answer_pam_free_ctx释放后重利用漏洞(CVE-2015-6564)
OpenSSH sshd 权限许可和访问控制漏洞(CVE-2015-6565)
OpenSSH 'x11_open_helper()'函数安全限制绕过漏洞(CVE-2015-5352)
影响范围
61.191.46.136
117.71.20.23
117.71.20.7
117.71.20.8
61.191.46.136
117.71.20.114
117.71.20.112
1
18/36
OpenSSH 拒绝服务漏洞(CVE-2016-1907)
OpenSSH默认服务器配置拒绝服务漏洞(CVE-2010-5107)
Portable OpenSSH 'ssh-keysign'本地未授权访问漏洞
117.71.20.119
117.71.20.116
117.71.20.113
117.71.20.105
117.71.20.14
117.71.20.110
117.71.20.118
117.71.20.109
117.71.20.108
117.71.20.23
117.71.20.107
117.71.20.102
117.71.20.13
117.71.20.11
117.71.20.117
117.71.20.101
117.71.20.115
117.71.20.12
117.71.20.6
117.71.20.111
117.71.20.10
117.71.20.103
117.71.20.104
117.71.20.106
117.71.20.24
61.191.46.136
19/36
117.71.20.23
117.71.20.12
117.71.20.10
9.2 加固方案
第一步 准备安装包
1.1、 确定操作系统
uname -a
lsb_release -a(suse)
cat /etc/issue(redhat)
1.2、 将所需安装包上传到服务器
相关下载:、、、
//先把所有安装文件上传服务器,再卸载ssh,要不文件上传非常麻烦,在系统镜像中找到gcc安装包一并上传,大部分make失败都是gcc未安装或者安装不全造成。
20/36
第二步 准备好其他远程方式
2.1、此项可选择telnet或者vnc来进行远程操作
安装telnet服务,telnet安装rpm包对应操作系统ISO文件里面提取,建议不要跨操作系统版本安装,减少未知问题。
vi /etc/xinetd.d/ekrb5-telnet
disable = yes改成 no。
service xinetd restart
vi /etc/securetty加入
pts/0
pts/1
pts/2
pts/3
vi /etc/pam.d/login文件注释掉:
#auth [user_unknown=ignore success=ok ignore=ignore
#auth_err=die default=bad] pam_
//以上步骤保证root用户可以telnet,保证后续远程配置正常进行。
第三步 程序升级
3.1、停止SSHD服务
21/36
/sbin/service sshd stop (要确保sshd服务停止)
3.2、备份启动脚本
cp /etc/init.d/sshd /root/
3.3、卸载系统里原有Openssh
rpm –qa openssh //查询系统原安装的openssh包,全部卸载。
rpm -e openssh --nodeps
rpm -e openssh-server --nodeps
rpm -e openssh-clients --nodeps
rpm -e openssh-askpass
3.4、解压安装zlib包:
tar -zxvf //首先安装zlib库,否则会报zlib.c错误无法进行
cd zlib-1.2.8
./configure
make&&make install
//yum list | gerp zlib先查看是否已经安装,已安装跳过这一步。
无法编译安装,尝试安装如下
yum install -y gcc g++ gcc-c++ make
22/36
yum -y install zlib-devel
3.5、解压安装openssl包:
tar -zxvf
cd openssl-1.0.1p
./config shared zlib
make
make test
make install
mv /usr/bin/openssl /usr/bin/
mv /usr/include/openssl /usr/include/
//该步骤可能提示无文件,忽略即可
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
//移走原先系统自带的openssl,将自己编译产生的新文件进行链接。
3.6、配置库文件搜索路径
echo "/usr/local/ssl/lib" >> /etc/
/sbin/ldconfig -v
23/36
openssl version -a
OpenSSL 1.0.1s 19 Mar 2015
built on: Sat Mar 21 04:11:47 2015
platform: linux-x86_64
options: bn(64,64) rc4(8x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -I. -I.. -I../include -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN
-DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT
-DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM
-DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/local/ssl
//以上是openssl安装成功后输出版本信息
3.7、解压安装openssh包:
先将将/etc/ssh的文件夹备份:
mv /etc/ssh /etc/ssh_bak
tar -zxvf
cd openssh-7.1p1
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-zlib --with-ssl-dir=/usr/local/ssl --with-md5-passwords
24/36
--mandir=/usr/share/man
make
make install
ssh –V
OpenSSH_7.1p2, OpenSSL 1.0.1s 1 Mar 2016
3.8、启动服务
cp -p contrib/redhat/ /etc/init.d/sshd
cp –p contrib/suse/ /etc/init.d/sshd
//其他版本操作系统具体查看contrib对应目录和readme。
chmod +x /etc/init.d/sshd
chkconfig --add sshd
cp sshd_config /etc/ssh/sshd_config
cp sshd /usr/sbin/sshd
3.9、验证是否成功
service sshd start
ssh -V
OpenSSH_7.1p1, OpenSSL 1.0.1m 19 Mar 2015
25/36
此时可以尝试远程ssh进去服务器,如果能连,并查看验证日志信息等确认无误。
查看ssh服务状态:
//以下配置redhat略有不同,具体情况具体解决。
/etc/init.d/sshd status
Checking for service sshd unused
状态不可用,ssh连接正常。
pkill sshd
杀掉sshd服务
service sshd start
启动sshd服务
service sshd status
Checking for service sshd running
卸载telnet-server
rpm –e telnet-server
客户端连接telnet失败。
vi /etc/ssh/sshd_config
PermitRootLogin yes
26/36
9.3 回退方案
恢复之前备份文件至原目录cp/root/sshd /etc/init.d/
9.4 加固结果
已经加固
10. 远端WWW服务支持TRACE请求
10.1 漏洞清单
序号
1 远端WWW服务支持TRACE请求
漏洞信息 影响范围
117.71.20.125
10.2 加固方案
1、停止apache服务
[root@localhost bin]# /usr/local/apache2/bin/apachectl stop
2、vi /usr/local/apache2/,复制里面的内容
27/36
a. 2.0.55以上版本的Apache服务器,可以在的尾部添加:TraceEnable off
b.
– 在各虚拟主机的配置文件里添加如下语句:
首先,激活rewrite模块(去掉符号#)
Mod_Rewrite Module
启用Rewrite引擎
RewriteEngine on
对Request中的Method字段进行匹配:^TRACE 即以TRACE字符串开头
RewriteCond {REQUEST_METHOD} ^(TRACE|TRACK)
定义规则:对于所有格式的来源请求,均返回[F]-Forbidden响应
RewriteRule .* - [F]
3、启动apache
[root@localhost bin]# /usr/local/apache2/bin/apachectl start
10.3 回退方案
复制之前备份的内容至/usr/local/apache2/中进行恢复即可
28/36
10.4 加固结果
已经加固
11. Oracle漏洞
11.1 漏洞清单
序号 漏洞信息
Oracle MySQL Server 5.5.19拒绝服务漏洞
Oracle MySQL Server Data Manipulation Language子组件拒绝服务漏洞(CVE-2013-1544)
Oracle MySQL Server Information Schema子组件拒绝服务漏洞(CVE-2013-1532)
Oracle MySQL Server Information Schema子组件拒绝服务漏洞(CVE-2013-2378)
Oracle MySQL Server 'Information Schema'子组件远程安全漏洞(CVE-2013-0384)
Oracle MySQL Server InnoDB子组件拒绝服务漏洞(CVE-2013-2389)
Oracle MySQL Server 'InnoDB'子组件远程安全漏洞(CVE-2012-0572)
Oracle MySQL Server Optimizer子组件拒绝服务漏洞(CVE-2013-3839)
Oracle MySQL Server Server Locking子组件拒绝服务漏洞(CVE-2013-1521)
Oracle MySQL Server 'Server Locking'子组件远程安全漏洞(CVE-2013-0383)
Oracle MySQL Server Server Optimizer子组件拒绝服务漏洞(CVE-2013-2392)
Oracle MySQL Server 'Server Optimizer'子组件远程安全漏洞(CVE-2012-1705)
Oracle MySQL Server 'Server Optimizer'子组件远程安全漏洞(CVE-2013-0389)
Oracle MySQL Server Server Partition子组件拒绝服务漏洞(CVE-2013-1555)
影响范围
1
117.71.20.14
117.71.20.103
117.71.20.104
117.71.20.106
117.71.20.24
29/36
Oracle MySQL Server Server Privileges子组件漏洞(CVE-2013-1531)
Oracle MySQL Server Server Privileges子组件漏洞(CVE-2013-2375)
Oracle MySQL Server 'Server Replication'子组件本地安全漏洞(CVE-2013-0385)
Oracle MySQL Server 'Server Replication'子组件远程安全漏洞(CVE-2013-0375)
Oracle MySQL Server Server:Information Schema子组件拒绝服务漏洞(CVE-2015-0500)
Oracle MySQL Server Server:InnoDB:DML 拒绝服务漏洞(CVE-2015-0433)
Oracle MySQL Server Server:Optimizer子组件拒绝服务漏洞(CVE-2015-0423)
Oracle MySQL Server Server:Optimizer子组件拒绝服务漏洞(CVE-2015-2571)
Oracle MySQL Server Server:Partition 拒绝服务漏洞(CVE-2015-0438)
Oracle MySQL Server Server:Security:Privileges子组件拒绝服务漏洞(CVE-2015-2568)
Oracle MySQL Server Server子组件拒绝服务漏洞(CVE-2013-1552)
Oracle MySQL Server 'Server'子组件远程安全漏洞(CVE-2012-0574)
Oracle MySQL Server 'Server'子组件远程安全漏洞(CVE-2012-1702)
Oracle MySQL Server 拒绝服务漏洞(CVE-2014-0412)
Oracle MySQL Server 远程安全漏洞(CVE-2014-0386)
Oracle MySQL Server 远程拒绝服务漏洞(CVE-2014-0401)
Oracle MySQL Server 远程拒绝服务漏洞(CVE-2014-0402)
Oracle MySQL Server 组件安全漏洞(CVE-2013-3802)
Oracle MySQL Server 组件安全漏洞(CVE-2013-3804)
Oracle MySQL Server 组件安全漏洞(CVE-2013-3808)
Oracle MySQL Server远程安全漏洞(CVE-2015-0405)
Oracle MySQL Server远程安全漏洞(CVE-2015-0439)
Oracle MySQL Server远程安全漏洞(CVE-2015-0441)
Oracle MySQL Server远程安全漏洞(CVE-2015-0501)
Oracle MySQL Server远程安全漏洞(CVE-2015-0503)
Oracle MySQL Server远程安全漏洞(CVE-2015-0508)
30/36
Oracle MySQL Server远程安全漏洞(CVE-2015-2573)
Oracle MySQL Server远程安全漏洞(CVE-2015-2611)
Oracle MySQL Server远程安全漏洞(CVE-2015-2617)
Oracle MySQL Server远程安全漏洞(CVE-2015-4730)
Oracle MySQL Server远程安全漏洞(CVE-2015-4756)
Oracle MySQL Server远程安全漏洞(CVE-2015-4772)
Oracle MySQL Server远程安全漏洞(CVE-2015-4800)
Oracle MySQL Server远程安全漏洞(CVE-2015-4802)
Oracle MySQL Server远程安全漏洞(CVE-2015-4815)
Oracle MySQL Server远程安全漏洞(CVE-2015-4816)
Oracle MySQL Server远程安全漏洞(CVE-2015-4826)
Oracle MySQL Server远程安全漏洞(CVE-2015-4830)
Oracle MySQL Server远程安全漏洞(CVE-2015-4833)
Oracle MySQL Server远程安全漏洞(CVE-2015-4858)
Oracle MySQL Server远程安全漏洞(CVE-2015-4862)
Oracle MySQL Server远程安全漏洞(CVE-2015-4866)
Oracle MySQL Server远程安全漏洞(CVE-2015-4870)
Oracle MySQL Server远程安全漏洞(CVE-2015-4904)
Oracle MySQL Server远程安全漏洞(CVE-2015-4905)
Oracle MySQL SSL证书验证安全限制绕过漏洞(CVE-2015-3152)
Oracle MySQL/MariaDB acl_get()和check_grant_db_routine()函数缓冲区溢出漏洞
MariaDB多个SQL注入漏洞(CVE-2012-4414)
MySQL Server允许匿名用户进行访问
MySQL 和 MariaDB Geometry 查询拒绝服务漏洞(CVE-2013-1861)
yaSSL 不明细节缓冲区溢出漏洞(CVE-2012-0553)
yaSSL 不明细节缓冲区溢出漏洞(CVE-2013-1492)
31/36
11.2 加固方案
一、安装准备
1、先备份数据库的配置和数据
2、显示mysql文件
rpm –qa | grep mysql
3、删除显示的文件
rpm –e XXX
二、安装
glibc版本的Mysql,不是编译版的,是直接编译好的
tar zxvf mysql-5.7.13-linux-glibc2.5-x86_
mv mysql-5.7.13-linux-glibc2.5-x86_
cd mysql5.7.13
#初始化mysql数据库
scripts/mysql_install_db --user=mysql
32/36
三.开启mysql
bin/mysqld_safe --user=mysql
四.执行安全设置
#bin/mysql_secure_installation
NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MySQL
SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY!
In order to log into MySQL to secure it, we'll need the current
password for the root user. If you've just installed MySQL, and
you haven't set the root password yet, the password will be blank,
so you should just press enter here.
Enter current password for root (enter for none):<---输入现在的root密码,因为我们还没设置,直接回车
OK, successfully used password,
Setting the root password ensures that nobody can log into the MySQL
root user without the proper authorisation.
33/36
Set root password? [Y/n] Y <---是否设定root密码,当然设置了,输入Y回车
New password: <---输入root密码,并回车,输入的过程中不会有任何显示
Re-enter new password: <---再次输入root密码,并回车,输入的过程中不会有任何显示
Password updated successfully!
Reloading privilege tables..
... Success!
By default, a MySQL installation has an anonymous user, allowing anyone
to log into MySQL without having to have a user account created for
them. This is intended only for testing, and to make the installation
go a bit smoother. You should remove them before moving into a
production environment.
Remove anonymous users? [Y/n] Y <---是否删除匿名用户,删除,输入Y回车
... Success!
Normally, root should only be allowed to connect from 'localhost'. This
34/36
ensures that someone cannot guess at the root password from the network.
Disallow root login remotely? [Y/n] Y <---是否删禁止root用户远程登录,当然禁止,输入Y回车
... Success!
By default, MySQL comes with a database named 'test' that anyone can
access. This is also intended only for testing, and should be removed
before moving into a production environment.
Remove test database and access to it? [Y/n] <---是否删除测试数据库test,删除,输入Y回车
- Dropping
... Success!
- Removing privileges on
... Success!
Reloading the privilege tables will ensure that all changes made so far
will take effect immediately.
Reload privilege tables now? [Y/n] Y <---刷新权限,输入Y回车
35/36
... Success!
All done! If you've completed all of the above steps, your MySQL
installation should now be secure.
Thanks for using MySQL!
11.3 回退方案
恢复之前备份数据库的配置和数据
11.4 加固结果
未加固,补丁需要正版授权码才可下载,建议升级mysql数据库版本至mysql5.7.13
36/36
发布评论