mysqlのセキュリティ設定

mysqlサーバをインストールするときに注意すべきセキュリティのチェックポイントをまとめる（Mysql 5.1のリファレンスマニュアルなどを参考にした）。

1. （初期状態で既にユーザが存在するので）パスワードが登録されていない全ユーザにパスワードを登録する。
2. パスワードを入力するときは、出きるだけコマンド中に入れるのではなく、pオプションを使う。
3. コマンド履歴は~/.mysql_hisotryに保存されているので、定期的に削除する。例えば、~/.bash_logoutにログアウトする度にこのファイルを削除するように記述する。
4. 匿名ユーザは削除する。
5. 特権を与えたら、flash pribileges;を実行するのを忘れない。
6. mysqlサーバを実行するユーザのログインシェルを/sbin/nologinに変更する。また所属グループもrootやwheelなどになっていないことを確認する。rootで実行しないこと。
7. テーブルへのシンボリック リンクをサポートしない。(これは --skip-symbolic-links オプションで無効にできる）。
8. mysqlサーバ実行する Unix アカウントだけに、データベース ディレクトリ(--datadir=/var/lib/mysqlなど)の読み取り権限と書き込み権限があることを確認する。

root宛メールの転送

root宛のメールを特定の一般ユーザ（hoge）に転送する設定

/etc/aliasに以下のように記述する。

root:   hoge

設定を反映させる。

# newaliases

パケット転送を停止する。

サーバをルータなどとして使っていない場合、パケット転送は不要なので（もし有効にしていたら）停止する。そのために、起動時に読み込まれるスクリプト/etc/rc.d/rc.localに以下を記述する。

echo -n "Disabling packet forwarding..."
echo 0 > /proc/sys/net/ipv4/ip_forward
echo "done"

もし有効にしたいならば、0を1にする。

ファイアーフォールの設定を確認する

すべてのチェインを確認するには

# iptables -L

個別のチェインを確認するには（例：OUTPUT）

# iptables -L OUTPUT

リモートサイトからのpingに応答しない。

# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

送信元アドレス検証

リモートホストがパケットを偽装して、ローカルホストになりすますのを防ぐには(CentOS)

/etc/sysctl.confのnet.ipv4.conf.all.rp_filterの値が1になっていれば、機能が有効になっているが、そうでないならば、以下の設定を追加する（デフォルトでは有効になっていた）。

システム起動時に読み込まれるファイル/etc/rc.d/rc.localに以下を記述する。

echo -n "Enabling source address verification..."
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
echo "done"