htp_audit 是为 MySQL 开源数据库自主研发的审计插,弥补了 MySQL 开源数据库产品缺乏审计功能,为数据库安全透明运行提供技术保障。
审计插件 htp_audit 的应用场景
举例场景描述:企业发现某天数据库中的数据被人为删除了,尽管有数据备份,但因服务终止造成的损失可能高达上千万,还不计算殃及的品牌价值、用户体验等。企业必然要排查是什么原因触发的,这个删除操作是谁操作的,往往拥有数据库操作权限的人员较多,从何排查,证据在哪?
上述有关数据库的安全场景在企业中常出现,数据库作为企业业务系统的数据存储容器,类似人体的心脏和血液循环系统,数据就是企业业务系统的血液,数据库一旦出现问题就像心脏停止跳动,整个企业的生产系统或交易系统都将停止。当数据出现非正常修改的问题时,我们需要快速分析、诊断问题发生的原因,追踪数据不安全的根源,降低数据泄漏风险,进行实时风险预警,这就是通常所说的“数据库审计功能”。但是 MySQL 开源数据库缺失审计功能,这对于广大 MySQL 开源数据库用户而言是埋下了数据安全的隐患。
热璞科技开源的审计插件 htp_audit,能够实时记录数据库活动,帮助用户分析、追查、诊断追踪不安全事件,保障数据安全,实时预警数据库操作风险。对 MySQL 数据据库 DBA 而言,使用审计插件 htp_audit 非常简便,从 GitHub上 直接下载 htp_audit 审计插件源码文件,复制到 MySQL 数据库源码的 plugin 文件夹中,编译生成 htp_audit.so文件,然后在 MySQL 中安装使用:install plugin htp_audit soname 'htp_audit.so';。
审计插件 htp_audit 的功能简述
针对 MySQL 开源数据库的审计功能缺失,行业内也出现了一些解决的办法,例如:甲骨文公司在 MySQL5.5 的企业版中增加了 mysql-audit plugin,只限于 MySQL 数据库企业版,且功能类似于 general-log 的方式。也有一些第三方审计插件,但都没有达成 MySQL 数据库的审计功能,例如:MySQL 数据库中的事件类型较多,第三方审计工具未能做到对所有事件提供对应的处理函数;MySQL 数据库缺少配置文件,则不能灵活地配置审计事件的类型,往往调整配置则需要重启 mysqld 服务,甚至修改源代码重新编译。
热璞科技的 MySQL 源码团队调研了企业版本审计功能、收集 MySQL 数据库社区、大型企业客户等诉求,设计并研发的审计插件 htp_audit,能彻底做到审计全部事件、可动态在线修改配置等功能目标。审计插件 htp_audit 拥有以下三大特征:
全类型事件审计:MySQL 开源数据库中的事件分为父类型和子类型,父类型如 table access 含有子类型 READ、INSERT、UPDATE、DELETE;父类型 connection 含有子类型 CONNECT、DISCONNECT 等,htp_audit 可根据配置文件进行所有子类型事件审计,保证审计的完整性和全面性。
动态的审计配置:htp_audit 在启动时会从配置文件中获取要审计的事件类型,mysqld 实例在运行时也可通过全局变量 htp_audit_add_rule 添加需要审计的事件类型,通过 htp_audit_remove_rule 移除无需审计的事件类型。这就意味着在数据库运行过程中,htp_audit 可以动态增加或删除要审计的事件类型,保证整个审计过程对上层业务访问和业务系统是无感知的。
发生及被审计次数展示:新增各类型事件的发生次数和配置审计事件被审计的次数,使用命令:SHOW GLOBAL STATUS LIKE "%audit%" 即可查看,方便用户实时了解审计插件的运行情况,例如:事件发生状况、业务负载状况等,轻松获取数据库审计信息。
-
上海热璞网络科技有限公司(以下简称“热璞科技”)宣布为MySQL开源数据库自主研发的审计插件htp_audit正式开源,弥补MySQL开源数据库产品缺乏审计功能,为数据库安全透明运行提供技术保障。 “此次开源的MySQL数据库审计插件htp_audit,是为回馈MySQL数据库社区,也是热璞科技发挥技术领先优势构建开放开源生态体系的责任之举,未来将持续加大基础软件的研发投入,秉承开源精神,为行业输
-
一旦Spring Security发挥作用,Spring Boot Actuator就有一个灵活的审计框架,可以发布事件(默认情况下,“身份验证成功”,“失败”和“访问被拒绝”例外)。 此功能对于报告和基于身份验证失败实施锁定策略非常有用。 要自定义已发布的安全事件,您可以提供自己的AbstractAuthenticationAuditListener和AbstractAuthorizationA
-
我的项目中有几个类是由Hibernate处理的,有些是由Envers审核的,有些则不是。现在,当我试图保存某个未经审计的实体时,我得到了以下信息: 有些人可能认为我的数据库中没有审计表,但是Envers甚至不应该试图寻找这个表,因为实体没有被审计。我的类看起来像这样: 因此,每个类都包含一个子类列表,其中包含对其父类的引用。这些类都没有用-注释标记,但它们引用了一些已审核的实体。然而,每个引用都用
-
日志审计支持查看平台上的所有操作日志以及公有云的操作日志等。 操作日志 操作日志用于显示系统中所有操作信息。 云上日志 将公有云操作日志同步到云联壹云平台上统一查看。
-
该账号及其子账号的所有操作记录和登录日志,便于在发生问题时用户及时查看。 操作日志 登录历史 操作日志 记录用户及其子用户在页面的所有操作行为,可对操作行为进行追溯,并按照功能模块、操作行为等进行查询。 登录历史 记录用户及其子用户的所有登录行为,包括登录时间、登录IP、用户名、浏览器版本、登录方式等。
-
有许多选项可用于在审计扫描期间配置Burp Scanner的行为。这些可以在Burp启动扫描时即时配置,或是在 Burp 的配置库中修改其配置。 优化审计 通过这些设置,您可以调整审计的整体逻辑行为,来达到针对目标的一个更好的审计效果。 优化审计可以使用如下配置: 审计速度 - 此选项确定在检查漏洞时某些审计的深度。 快速(Fast)会进行较少的请求,检查某些漏洞时也只是做一个基础审计。 深入(T
-
不是每个问题都有技术性的答案。我曾经诊断过一台服务器,它对 ping、SSH 或控制台连接均无响应。 我不能确定这到底是硬件故障还是软件故障。 当我电话询问主机所在位置的站点客服时,奥秘最终被揭开了。他们告诉我: 先期抵达的两名不明身份的男子,进入大厦直奔服务器机房,拔下了机器,并轻易地将机器带出了大厦。 后来我们发现,在机房所在的地区(Missouri,M.O.)曾发生过一连串的电脑失窃案。 从
-
欢迎来到Web渗透部分,在这个部分中将会熟悉Web应用中发现的常见漏洞。在该部分结束时你应该能够使用各种测试方法和源码级别审计识别基于Web的常见应用漏洞。课程资源中将会给出对挑战工坊资源进行成功审计的所有工具。 课程 Web Hacking Part I Web Hacking Part II 挑战工坊 为了锻炼你的技能,我们建议你实践一遍Damn Vulnerable Web App(DVWA
-
现在你已经深入到原生层,这是你撕扯下所有遮掩后的软件。今天我们所关注的原生代码形式是Intel X86下的32位代码。Intel处理器从上世纪80年代开始在个人计算机市场有着强劲的表现,现在支配着桌面和服务器市场。理解这些指令集可以帮助你以内部视角看到程序每天是如何运行的,也可以在你遇到诸如ARM、MIPS、PowerPC和SPARC等其他指令集时提供一种参考。 这部分内容我们将要逐渐熟悉原生层和