數據庫審計 DBAudit - Yearning 最新版

數據庫審計 DBAudit

2019/09/26 Chenxin

數據庫審計

基本概念

數據庫審計（簡稱DBAudit）可以實時記錄網絡上的數據庫活動，對數據庫操做進行細粒度審計的合規性管理，對數據庫遭受到的風險行爲進行告警，對攻擊行爲進行阻斷。它經過對用戶訪問數據庫行爲的記錄、分析和彙報，用來幫助用戶過後生成合規報告、事故追根溯源，同時增強內外部數據庫網絡行爲記錄，提升數據資產安全。

數據庫審計是數據庫安全技術之一，數據庫安全技術主要包括：
數據庫漏掃
數據庫加密
數據庫防火牆
數據脫敏
數據庫安全審計系統

歸納起來主要表如今如下三個層面：

1. 管理風險：主要表現爲人員的職責、流程有待完善，內部員工的平常操做有待規範，第三方維護人員的操做監控失效等等，離職員工的後門，導致安全事件發生時，沒法追溯並定位真實的操做者。
2. 技術風險：Oracle, SQL Server是一個龐大而複雜的系統，安全漏洞如溢出， 注入層出不窮，每一次的CPU（Critical Patch Update）都疲於奔命， 而企業和政府處於穩定性考慮，每每對補丁的跟進很是延後，更況且經過應用層的注入攻擊使得數據庫處於一個無辜受害的狀態。
3. 審計層面：現有的依賴於數據庫日誌文件的審計方法(阿里雲好像是這種)，存在諸多的弊端,好比:數據庫審計功能的開啓會影響數據庫自己的性能、數據庫日誌文件自己存在被篡改的風險，難於體現審計信息的有效性和公正性。此外，對於審計數據的挖掘和迅速定位也是任何審計系統必須面對和解決的一個核心問題之一。

伴隨着數據庫信息價值以及可訪問性提高，使得數據庫面對來自內部和外部的安全風險大大增長，如違規越權操做、惡意入侵致使機密信息竊取泄漏，但過後卻沒法有效追溯和審計。

產品分類

企業產品
就國內而言，作數據庫審計產品的公司愈來愈多.好比：安華金和、天融信、安恆、綠盟,Themis宜信公司等等.

雲平臺數據庫審計
阿里雲,aws等

開源類
目前好像主要爲Yearning

Yearning MYSQL 審覈平臺

參考
http://yearning.io/ 官網
https://guide.yearning.io/ 手冊,最新的文檔,建議參考此官網說明(因更新比較快,不建議沿用本文檔).

簡介

Yearning是由杭州的一個運維我的開發,目前已開源.之後可能會商業化.

• 主要功能
  SQL查詢/查詢導出/查詢自動補全

• SQL審覈
  流程化工單/SQL語句檢測/SQL語句執行/SQL回滾

• 歷史審覈記錄
  查詢審計

• 推送
  E-mail工單推送/釘釘webhook機器人工單推送

• 其餘
  LDAP登錄/用戶權限及管理/拼圖式細粒度權限劃分(共12項獨立權限,可隨意組合)

安裝部署

mysql版本必須5.7及以上版本.安裝部署請參考"mysql運維"文檔部分.
請事先自行安裝完畢且建立Yearning庫,字符集應爲UTF-8/UTF8mb4

下載地址
https://github.com/cookieY/Yearning/releases 選擇最新的Yearning-x.x.x.linux-amd64.zip

解壓
unzip Yearning-2.1.3.linux-amd64.zip

目錄
mv Yearning-go /usr/local/Yearning

環境變量 /etc/profile 添加
export PATH='/usr/local/Yearning:/usr/local/mysql/bin:/usr/local/mysql/lib':$PATH

文件結構與配置文件解析

目錄結構

[root@ipaclient Yearning]# tree /usr/local/Yearning/
/usr/local/Yearning/
├── conf.toml   #配置文件
├── dist
│   ├── css
│   │   ├── app.90071506.css
...
│   ├── fonts
│   │   ├── ionicons.143146fa.woff2
│   │   ├── ionicons.99ac3308.woff
│   │   └── ionicons.d535a25a.ttf
│   ├── icon.png
│   ├── img
...
│   ├── index.html
│   ├── js
...
│   └── particlesjs-config.json
├── Dockerfile  #能夠docker方式部署
├── #\ README
└── Yearning

配置文件

[root@ipaclient Yearning]# cat conf.toml 
[Mysql]
Db = "Yearning"
Host = "127.0.0.1"
Port = "10306"
Password = "sjE...8sg"
User = "Yearning"

[General]
SecretKey = "yhgjqheupqjsYNsh"

關於SecretKey
SecretKey是token/數據庫密碼加密/解密的salt.建議全部用戶在初次安裝Yearning以前將SecretKey更改(不更改將存在安全風險).
格式: 大小寫字母都可, 長度必須爲16位
特別注意:此key僅可在初次安裝時更改,以後不可再次更改.如再次更改會致使以前已存放的數據源密碼沒法解密,最終致使沒法獲取相關數據源信息.

初始化與啓停

初始化數據結構
./Yearning -m
如要再次初始化，請先把yearning表刪除，不然重複執行無效.

[root@ipaclient Yearning]# Yearning -m

(/var/jenkins_home/workspace/Yearning-go/src/service/migrate.go:31) 
[2019-09-29 16:13:30]  [0.57ms]  INSERT  INTO `core_accounts` (`username`,`password`,`rule`,`department`,`real_name`,`email`) VALUES ('admin','pbkdf2_sha256$12...GUFy$3b63+x2/XPgg/6ldvcLFkzQZjYNZ6Gg/S6d/TOxkmrE=','admin','DBA','超級管理員','')  
[1 rows affected or returned ] 

(/var/jenkins_home/workspace/Yearning-go/src/service/migrate.go:39) 
[2019-09-29 16:13:30]  [0.89ms]  INSERT  INTO `core_global_configurations` ...
[1 rows affected or returned ] 

(/var/jenkins_home/workspace/Yearning-go/src/service/migrate.go:46) 
[2019-09-29 16:13:30]  [0.51ms]  INSERT  INTO `core_graineds` (`username`,`rule`,`permissions`) VALUES ('admin','','{"ddl":"1","ddl_source":[],"dml":"1","dml_source":[],"user":"1","base":"1","auditor":[],"query":"1","query_source":[]}')  
[1 rows affected or returned ] 
初始化成功!
 用戶名: admin
密碼:Yearning_admin

啓停,瀏覽器訪問
默認啓動: ./Yearning -s
參數啓動: ./Yearning -s -b "172.27.80.35" -p "8000"
打開瀏覽器 http://172.27.80.35:8000 默認密碼：admin/Yearning_admin ,登錄控制檯後,修改密碼爲 YearningLG2019

其餘說明
https://guide.yearning.io/attention.html 注意事項(尤爲是回滾,須要binlog).

數據源配置

這裏是從Yearning這臺機器發起的鏈接,鏈接到目標主機的mysql.鏈接的是對方的3306端口,若是給予的該主機用戶擁有足夠權限,那麼能夠看到和操做全部庫.

數據操做申請流程/其餘功能模塊

用戶申請要查詢數據庫時,直接在查詢的功能裏申請.Yearning的DML不包含select.其餘DML,如insert,update等,在DML裏申請工單.
工單能夠指定日期和具體時間來計劃執行(相似crontab),無需人工介入.若是指定時間超過了審批的時間(比審批時間點早),那麼最終用戶審批後,Yearning會自動當即執行.
發起人A申請後,由指定人admin審批,admin批准用戶B來執行,B用戶在審覈裏審批.而後便可以人工點"執行"或自動執行SQL語句了.

通知

支持 釘釘 / 郵件 推送通知.申請/審批/執行 都會自動發送推送消息至指定的釘釘羣或郵件.
釘釘webhook地址相似: https://oapi.dingtalk.com/robot/send?access_token=c4d9a861...3dc
打開"釘釘推送開關",點擊保存.

本地用戶管理,LDAP用戶測試

1.這裏建立本地用戶測試一下.
用戶: yn-test
密碼: yn123LG
註冊完成後,須要到"用戶權限"裏,賦予權限(admin用戶登陸操做).

2.LDAP用戶
LDAP設置以下
服務地址url: 47.91.215.12:389
LDAP管理員DN: uid=admin,cn=users,cn=accounts,dc=chanix,dc=top
LDAP管理員密碼: xxxxxx
LDAP搜索規則: uid
LDAP_SCBASE: cn=users,cn=accounts,dc=chanix,dc=top
保存,刷新.
登錄的時候,用戶名下勾選LDAP.
每次有新的LDAP用戶登陸後,Yearning的用戶管理裏,就會多出該用戶.而後經過Yearning本地管理員對它進行賦權.

3.主動申請權限
普通用戶登陸後,在本身的portal上,能夠"查看權限","申請權限".跟管理員獲取對應的須要的權限.

備份恢復

備份與恢復Yearing數據庫(mysql裏).具體略.

服務更新

如版本更新有sql變更,請下載最新版本並執行如下命令進行數據結構更新（2.0.6版本以後升級無需執行該命令，程序啓動時會自動檢測是否須要更新表數據） ./Yearning -x