資料庫審計 DBAudit 2019/09/26 Chenxin 資料庫審計基本概念資料庫審計（簡稱DBAudit）能夠實時記錄網路上的資料庫活動，對資料庫操作進行細粒度審計的合規性管理，對資料庫遭受到的風險行為進行告警，對攻擊行為進行阻斷。它通過對用戶訪問資料庫行為的記錄、分析和彙報，用來幫助 ...

資料庫審計 DBAudit

2019/09/26 Chenxin

資料庫審計

基本概念

資料庫審計（簡稱DBAudit）能夠實時記錄網路上的資料庫活動，對資料庫操作進行細粒度審計的合規性管理，對資料庫遭受到的風險行為進行告警，對攻擊行為進行阻斷。它通過對用戶訪問資料庫行為的記錄、分析和彙報，用來幫助用戶事後生成合規報告、事故追根溯源，同時加強內外部資料庫網路行為記錄，提高數據資產安全。

資料庫審計是資料庫安全技術之一，資料庫安全技術主要包括：
資料庫漏掃
資料庫加密
資料庫防火牆
數據脫敏
資料庫安全審計系統

概括起來主要表現在以下三個層面：

管理風險：主要表現為人員的職責、流程有待完善，內部員工的日常操作有待規範，第三方維護人員的操作監控失效等等，離職員工的後門，致使安全事件發生時，無法追溯並定位真實的操作者。
技術風險：Oracle, SQL Server是一個龐大而複雜的系統，安全漏洞如溢出，註入層出不窮，每一次的CPU（Critical Patch Update）都疲於奔命，而企業和政府處於穩定性考慮，往往對補丁的跟進非常延後，更何況通過應用層的註入攻擊使得資料庫處於一個無辜受害的狀態。
審計層面：現有的依賴於資料庫日誌文件的審計方法(阿裡雲好像是這種)，存在諸多的弊端,比如:資料庫審計功能的開啟會影響資料庫本身的性能、資料庫日誌文件本身存在被篡改的風險，難於體現審計信息的有效性和公正性。此外，對於審計數據的挖掘和迅速定位也是任何審計系統必須面對和解決的一個核心問題之一。

伴隨著資料庫信息價值以及可訪問性提升，使得資料庫面對來自內部和外部的安全風險大大增加，如違規越權操作、惡意入侵導致機密信息竊取泄漏，但事後卻無法有效追溯和審計。

產品分類

企業產品
就國內而言，做資料庫審計產品的公司越來越多.比如：安華金和、天融信、安恆、綠盟,Themis宜信公司等等.

雲平臺資料庫審計
阿裡雲,aws等

開源類
目前好像主要為Yearning

Yearning MYSQL 審核平臺

參考
http://yearning.io/ 官網
https://guide.yearning.io/ 手冊,最新的文檔,建議參考此官網說明(因更新比較快,不建議沿用本文檔).

簡介

Yearning是由杭州的一個運維個人開發,目前已開源.以後可能會商業化.

主要功能
SQL查詢/查詢導出/查詢自動補全
SQL審核
流程化工單/SQL語句檢測/SQL語句執行/SQL回滾
歷史審核記錄
查詢審計
推送
E-mail工單推送/釘釘webhook機器人工單推送
其他
LDAP登陸/用戶許可權及管理/拼圖式細粒度許可權劃分(共12項獨立許可權,可隨意組合)

安裝部署

mysql版本必須5.7及以上版本.安裝部署請參考"mysql運維"文檔部分.
請事先自行安裝完畢且創建Yearning庫,字元集應為UTF-8/UTF8mb4

下載地址
https://github.com/cookieY/Yearning/releases 選擇最新的Yearning-x.x.x.linux-amd64.zip

解壓
unzip Yearning-2.1.3.linux-amd64.zip

目錄
mv Yearning-go /usr/local/Yearning

環境變數 /etc/profile 添加
export PATH='/usr/local/Yearning:/usr/local/mysql/bin:/usr/local/mysql/lib':$PATH

文件結構與配置文件解析

目錄結構

[root@ipaclient Yearning]# tree /usr/local/Yearning/
/usr/local/Yearning/
├── conf.toml   #配置文件
├── dist
│   ├── css
│   │   ├── app.90071506.css
...
│   ├── fonts
│   │   ├── ionicons.143146fa.woff2
│   │   ├── ionicons.99ac3308.woff
│   │   └── ionicons.d535a25a.ttf
│   ├── icon.png
│   ├── img
...
│   ├── index.html
│   ├── js
...
│   └── particlesjs-config.json
├── Dockerfile  #可以docker方式部署
├── #\ README
└── Yearning

配置文件

[root@ipaclient Yearning]# cat conf.toml 
[Mysql]
Db = "Yearning"
Host = "127.0.0.1"
Port = "10306"
Password = "sjE...8sg"
User = "Yearning"

[General]
SecretKey = "yhgjqheupqjsYNsh"

關於SecretKey
SecretKey是token/資料庫密碼加密/解密的salt.建議所有用戶在初次安裝Yearning之前將SecretKey更改(不更改將存在安全風險).
格式: 大小寫字母均可, 長度必須為16位
特別註意:此key僅可在初次安裝時更改,之後不可再次更改.如再次更改會導致之前已存放的數據源密碼無法解密,最終導致無法獲取相關數據源信息.

初始化與啟停

初始化數據結構
./Yearning -m
如要再次初始化，請先把yearning表刪除，否則重覆執行無效.

[root@ipaclient Yearning]# Yearning -m

(/var/jenkins_home/workspace/Yearning-go/src/service/migrate.go:31) 
[2019-09-29 16:13:30]  [0.57ms]  INSERT  INTO `core_accounts` (`username`,`password`,`rule`,`department`,`real_name`,`email`) VALUES ('admin','pbkdf2_sha256$12...GUFy$3b63+x2/XPgg/6ldvcLFkzQZjYNZ6Gg/S6d/TOxkmrE=','admin','DBA','超級管理員','')  
[1 rows affected or returned ] 

(/var/jenkins_home/workspace/Yearning-go/src/service/migrate.go:39) 
[2019-09-29 16:13:30]  [0.89ms]  INSERT  INTO `core_global_configurations` ...
[1 rows affected or returned ] 

(/var/jenkins_home/workspace/Yearning-go/src/service/migrate.go:46) 
[2019-09-29 16:13:30]  [0.51ms]  INSERT  INTO `core_graineds` (`username`,`rule`,`permissions`) VALUES ('admin','','{"ddl":"1","ddl_source":[],"dml":"1","dml_source":[],"user":"1","base":"1","auditor":[],"query":"1","query_source":[]}')  
[1 rows affected or returned ] 
初始化成功!
 用戶名: admin
密碼:Yearning_admin

啟停,瀏覽器訪問
預設啟動: ./Yearning -s
參數啟動: ./Yearning -s -b "172.27.80.35" -p "8000"
打開瀏覽器 http://172.27.80.35:8000 預設密碼：admin/Yearning_admin ,登陸控制台後,修改密碼為 YearningLG2019

其他說明
https://guide.yearning.io/attention.html 註意事項(尤其是回滾,需要binlog).

數據源配置

這裡是從Yearning這台機器發起的連接,連接到目標主機的mysql.連接的是對方的3306埠,如果給予的該主機用戶擁有足夠許可權,那麼可以看到和操作所有庫.

數據操作申請流程/其他功能模塊

用戶申請要查詢資料庫時,直接在查詢的功能里申請.Yearning的DML不包含select.其他DML,如insert,update等,在DML里申請工單.
工單可以指定日期和具體時間來計劃執行(類似crontab),無需人工介入.如果指定時間超過了審批的時間(比審批時間點早),那麼最終用戶審批後,Yearning會自動立即執行.
發起人A申請後,由指定人admin審批,admin批准用戶B來執行,B用戶在審核里審批.然後即可以人工點"執行"或自動執行SQL語句了.

通知

支持釘釘 / 郵件推送通知.申請/審批/執行都會自動發送推送消息至指定的釘釘群或郵件.
釘釘webhook地址類似: https://oapi.dingtalk.com/robot/send?access_token=c4d9a861...3dc
打開"釘釘推送開關",點擊保存.

本地用戶管理,LDAP用戶測試

1.這裡創建本地用戶測試一下.
用戶: yn-test
密碼: yn123LG
註冊完成後,需要到"用戶許可權"里,賦予許可權(admin用戶登錄操作).

2.LDAP用戶
LDAP設置如下
服務地址url: 47.91.215.12:389
LDAP管理員DN: uid=admin,cn=users,cn=accounts,dc=chanix,dc=top
LDAP管理員密碼: xxxxxx
LDAP搜索規則: uid
LDAP_SCBASE: cn=users,cn=accounts,dc=chanix,dc=top
保存,刷新.
登陸的時候,用戶名下勾選LDAP.
每次有新的LDAP用戶登錄後,Yearning的用戶管理里,就會多出該用戶.然後通過Yearning本地管理員對它進行賦權.

3.主動申請許可權
普通用戶登錄後,在自己的portal上,可以"查看許可權","申請許可權".跟管理員獲取對應的需要的許可權.

備份恢復

備份與恢復Yearing資料庫(mysql里).具體略.

服務更新

如版本更新有sql變動,請下載最新版本並執行以下命令進行數據結構更新（2.0.6版本之後升級無需執行該命令，程式啟動時會自動檢測是否需要更新表數據）
./Yearning -x

資料庫審計 DBAudit - Yearning 最新版

資料庫審計 DBAudit