Come faccio a usare il plugin validate_password per migliorare la sicurezza della mia istanza database Amazon RDS per MySQL?

Breve descrizione

MySQL fornisce un plugin validate_password che puoi usare per migliorare la sicurezza di un'istanza database RDS per MySQL. Il plugin utilizza i parametri del gruppo di parametri database per l'istanza database per applicare le policy sulle password. Il plugin è supportato per le istanze database che eseguono le versioni di MySQL 5.7 e 8.0.

Nota: il plugin validate_password è un plugin e non fa parte della configurazione MySQL predefinita. Quando Amazon RDS crea un'istanza database MySQL, il plugin non viene installato per impostazione predefinita.

Risoluzione

Attiva il plugin validate_password per RDS per l'istanza database MySQL

Usa l'utente principale per connetterti all'istanza database RDS per MySQL ed esegui il seguente comando:

MySQL [(none)]> INSTALL PLUGIN validate_password SONAME 'validate_password.so';

Questo installa il plugin validate_password, quindi esegue il plugin con i valori dei parametri predefiniti.

Verifica che il plugin validate_password sia installato e attivo sull'istanza database RDS per MySQL

Esegui la seguente query sulla tua istanza database per verificare lo stato del plugin validate_password:

MySQL [(none)]> SELECT plugin_name, plugin_status,
plugin_type, plugin_library FROM information_schema.plugins WHERE
plugin_name='validate_password';

    +-------------------+---------------+-------------------+----------------------+
    | plugin_name       | plugin_status | plugin_type       | plugin_library       |
    +-------------------+---------------+-------------------+----------------------+
    | validate_password | ACTIVE        | VALIDATE PASSWORD | validate_password.so |
    +-------------------+---------------+-------------------+----------------------+

Controlla i valori predefiniti per il plugin validate_password

Esegui la seguente query per verificare i valori dei parametri predefiniti per il plugin:

MySQL [(none)]> SHOW GLOBAL VARIABLES LIKE 'validate_password%';

Ecco le descrizioni di ciascun parametro:

validate_password_check_user_name

• Valore: OFF
• Descrizione: vuoto

validate_password_dictionary_file

• Valore: vuoto
• Descrizione: vuoto

validate_password_length

• Valore: 8
• Descrizione: lunghezza minima della password

validate_password_mixed_case_count

• Valore: 1
• Descrizione: richiede che le password contengano caratteri maiuscoli e minuscoli

validate_password_number_count

• Valore: 1
• Descrizione: richiede che le password contengano almeno un numero

validate_password_policy

• Valore: MEDIA
• Descrizione: l'etichetta del gruppo di impostazioni

validate_password_special_char_count

• Valore: 1
• Descrizione: richiede che le password contengano almeno un carattere speciale

Configura questi parametri nel gruppo di parametri database personalizzato utilizzato dall'istanza database, a eccezione di validate_password_dictionary_file e validate_password_check_user_name. Se l'istanza database utilizza il gruppo di parametri predefinito, crea un nuovo gruppo di parametri e quindi collegalo all'istanza database. Questo perché non è possibile modificare le impostazioni dei parametri di un gruppo di parametri predefinito. Per maggiori informazioni, consulta Utilizzo dei gruppi di parametri.

Nota: Amazon RDS non convalida le password. Se si utilizza una delle seguenti opzioni per impostare una password utente, la modifica viene eseguita indipendentemente dalle policy sulle password:

• La console di gestione AWS
• Il comando modify-db-instance dell'Interfaccia della linea di comando AWS (AWS CLI)
• L'operazione ModifyDBInstance dell'API di Amazon RDS

Reimposta le password esistenti e crea una password conforme alla policy

Dopo aver installato e attivato il plugin password_validate, reimposta le password esistenti per conformarle alle nuove policy di convalida.

1.    Prova il plugin password_validate installato sulla tua istanza database. Usa i parametri predefiniti del plugin elencati in precedenza per creare un nuovo utente database:

MySQL [(none)]> CREATE USER 'USER123'@'%' identified by 'password';
ERROR 1819 (HY000): Your password does not satisfy the current policy requirements

Poiché validate_password_policy è impostato su MEDIA, la password deve soddisfare i criteri descritti nella documentazione MySQL validate_password_policy documentation. Nell'esempio precedente, il comando CREA UTENTE ha esito negativo perché non soddisfa la policy sulle password. Viene visualizzato un messaggio di errore simile al seguente:

"La tua password non soddisfa gli attuali requisiti della policy."

2.    Esegui il comando seguente per creare un utente con una password che soddisfi la policy sulle password:

MySQL [(none)]> CREATE USER 'USER123'@'%' identified by 'Password@57';
Query OK, 0 rows affected (0.01 sec)

3.    Per verificare che l'utente sia stato creato correttamente, esegui il comando seguente:

MySQL [(none)]> SELECT user, host FROM mysql.user WHERE ( user='USER123' AND host='%' );
+-------------------+------+
| user              | host |
+-------------------+------+
| validate_password | %    |
+-------------------+------+
1 row in set (0.00 sec)

4.    Per modificare la password dell'utente esistente, esegui il comando seguente. Utilizza una password conforme alla policy, come illustrato nell'esempio seguente:

mysql> alter user 'USER123'@'%' identified by 'Password@2020';
Query OK, 0 rows affected (0.01 sec)

Per maggiori informazioni sulla reimpostazione delle password per un utente esistente, consultaCome reimpostare la password root (sul sito Web MySQL).

Disattiva il plugin validate_password per l'istanza database RDS MySQL

MySQL [(none)]> UNINSTALL PLUGIN validate_password;

Informazioni correlate

Utilizzo del plugin di convalida della password per RDS per MySQL

Il plugin per la convalida della password nella documentazione MySQL