MySQLセキュリティ標準ルール

監査ログ・アカウントが除外されている

説明: エンタープライズ監査ログ・プラグインにより、アカウント発生元を基準にしてイベントがフィルタされています

重大度: 警告

アドバイス: オプションaudit_log_include_accountsまたはaudit_log_exclude_accountsの使用時は、このプラグインで、後で分析する際に必要になる可能性があるイベントすべてがログ記録されていない場合があります。アカウントを基準にしたイベントのフィルタリングが必要かどうかを検討し、必要でない場合はaudit_log_exclude_accountsまたはaudit_log_include_accountsの構成値を削除します。

監査ログ・ポリシーがすべてでない

説明: エンタープライズ監査ログ・プラグインにより、イベント・ステータスを基準にしてイベントがフィルタされています

重大度: 警告

アドバイス: これらのオプションの使用時は、このプラグインで、後で分析する際に必要になる可能性があるイベントすべてがログ記録されていない場合があります。ステータスを基準にしたイベントのフィルタリングが必要かどうかを検討し、必要でない場合はaudit_log_connection_policyまたはaudit_log_statement_policyの構成値を削除します。

ファイアウォールが無効化されている

説明: MySQL Enterprise Firewallは、インストールした後、2つのグローバル・モード(有効または無効)のどちらかにできます。

重大度: 警告

アドバイス: このファイアウォールを有効または無効にするには、mysql_firewall_modeシステム変数を設定します。デフォルトでは、この変数は、このファイアウォールのインストール時に有効になります。初期のファイアウォールの状態を明示的に制御するには、サーバー起動時にこの変数を設定します。

LOAD DATA文のLOCALオプションが有効化されている

説明: LOAD DATA文では、サーバー・ホスト上のファイルをロードでき、また、LOCALキーワードが指定されている場合はクライアント・ホスト上のファイルをロードできます。LOAD DATA文のLOCALバージョンのサポートには、次の2つの潜在的なセキュリティ問題があります。クライアント・ホストからサーバー・ホストへのファイルの転送は、MySQLサーバーによって開始されます。理論上、LOAD DATA文においてクライアントによって指定されたファイルではなく、サーバーによって選択されたファイルを転送するようにクライアント・プログラムに指示する、パッチ適用済サーバーを構築できます。そのようなサーバーでは、クライアント・ユーザーに読取りアクセス権限がある、クライアント・ホスト上のファイルすべてにアクセスできます。別のWebサーバーからクライアントが接続しているWeb環境では、ユーザーは、LOAD DATA LOCALを使用して、Webサーバー・プロセスに読取り権限があるファイルすべてを読み取ることができます(ユーザーがそのSQLサーバーに対してすべての文を実行できることが前提)。この環境では、MySQLサーバーに対するクライアントは実際はWebサーバーであり、Webサーバーに接続するユーザーが実行しているリモート・プログラムではありません。

重大度: 警告

アドバイス: --local-infileオプションを無効にして(--local-infile=0) MySQLサーバーを起動するか、MySQL構成ファイル(my.cnf)に"local-infile = 0"を追加します。

シンボリック・リンクが有効化されている

説明: 表とデータベースをデータベース・ディレクトリから他の場所に移動し、それらを新しい場所へのシンボリック・リンクに置き換えることができます。これを行うのは、たとえば、より大きい空き容量があるファイル・システムにデータベースを移動するためや、様々なディスクに表を分散することでシステムの速度を高めるためです。ただし、シンボリック・リンクによってセキュリティが損なわれる可能性があります。これは、rootとしてmysqldを実行する場合に特に重要です(このサーバーのデータ・ディレクトリへの書込みアクセス権限があるユーザー全員が、システム内のすべてのファイルを削除できるため)。

重大度: 警告

アドバイス: --skip-symbolic-linksオプションを指定してMySQLを起動するか、MySQL構成ファイル(my.cnf)にskip-symbolic-linksを追加しサーバーを再起動することで、シンボリック・リンクの使用を無効にします。