MariaDB praktisch absichern

Dieser Artikel beschreibt, wie man eine MariaDB-Installation effektiv absichert. Dabei werden grundlegende Sicherheitskonfigurationen, die Vergabe sicherer Passwörter, die Anpassung von Berechtigungen und zusätzliche Sicherheitsmaßnahmen behandelt.

Voraussetzungen

• Eine installierte und laufende MariaDB-Instanz.
• Zugriff auf die Kommandozeile mit administrativen Rechten.

Erste Schritte

Sichere MariaDB-Installationen sollten immer als ersten Schritt die Standardkonfiguration anpassen. Ein hilfreiches Tool ist das mitgelieferte `mysql_secure_installation`-Skript.

• Führe das Skript aus:
• mysql_secure_installation

Das Skript fragt nacheinander verschiedene Sicherheitseinstellungen ab, darunter:

• Setze ein root-Passwort: Ein starkes Passwort ist der erste Schritt zur Absicherung.
• Entferne anonyme Benutzer: Unnötige Benutzer erhöhen die Angriffsfläche.
• Verbiete Root-Login aus der Ferne: Das root-Konto sollte nur lokal auf der Maschine genutzt werden.
• Entferne Testdatenbanken: Die Testdatenbanken sind nicht sicher und sollten gelöscht werden.

Benutzerrechte und sichere Passwörter

Die Verwaltung von Benutzerrechten ist ein weiterer wichtiger Schritt zur Absicherung von MariaDB.

Erstellen eines Benutzers mit eingeschränkten Rechten

Erstelle für jede Anwendung, die auf die Datenbank zugreifen muss, einen eigenen Benutzer mit minimalen Rechten.

Melde dich als root bei MariaDB an

• mysql -u root -p

Erstelle einen neuen Benutzer und vergib spezifische Rechte

• CREATE USER 'sicherer_benutzer'@'localhost' IDENTIFIED BY 'starkes_passwort';
• GRANT SELECT, INSERT, UPDATE ON datenbank_name.* TO 'sicherer_benutzer'@'localhost';

Diese Befehle erstellen einen Benutzer, der nur lokale Anmeldungen erlaubt und nur auf die notwendige Datenbank zugreifen kann.

Überprüfe bestehende Benutzer und ihre Rechte

Überprüfe regelmäßig die vergebenen Benutzerrechte, um unbefugten Zugriff zu vermeiden.

Zeige alle Benutzer und ihre Rechte an

• SELECT user, host FROM mysql.user;

Lösche unnötige oder unsichere Benutzer

• DROP USER 'unsicherer_benutzer'@'localhost';

Sicherheitskonfigurationen in my.cnf

Passe die MariaDB-Konfigurationsdatei `/etc/mysql/my.cnf` (oder `/etc/my.cnf` je nach Distribution) an, um die Datenbank weiter abzusichern.

Zugriff nur lokal erlauben

Beschränke den Datenbankzugriff auf localhost, indem du folgende Zeile in der Konfigurationsdatei hinzufügst oder überprüfst

bind-address = 127.0.0.1

Deaktiviere das Laden von externen Dateien

Das Laden von externen Dateien kann ein Sicherheitsrisiko darstellen. Deaktiviere diese Funktion mit folgendem Eintrag

local-infile = 0

Logs und Überwachung

Aktiviere das Loggen von Anfragen und Fehlermeldungen, um potenzielle Angriffe zu erkennen.

• Füge folgende Zeilen zur Konfigurationsdatei hinzu:

log_error = /var/log/mysql/error.log
general_log = 1
general_log_file = /var/log/mysql/general.log

Diese Einstellungen aktivieren das allgemeine Logging und Fehlermeldungen.

Sicherheitsupdates und Backup

Halte MariaDB durch regelmäßige Updates auf dem neuesten Stand

• apt update && apt-get upgrade

Erstelle regelmäßige Backups deiner Datenbanken

• mysqldump -u root -p --all-databases > /pfad/zum/backup.sql

Fazit

Die Absicherung von MariaDB erfordert mehrere Schritte, einschließlich der Anpassung der Standardkonfiguration, der sorgfältigen Verwaltung von Benutzerrechten und der regelmäßigen Überwachung. Durch die oben beschriebenen Maßnahmen kann die Datenbank vor den meisten gängigen Angriffen geschützt werden.