利用init_connect参数记录用户登录信息

利用init_connect参数记录用户登录信息

说明:文章内容起源于网络并结合自己的实验而得;但参考的文章地址当时没记录下来,如果发现有侵权问题,请留言。

~
特别提醒:如果并发量比较高,该方式可能会影响性能,要充分评估后在使用。

一、场景:

假设有这么一个情况,你是某公司mysql-DBA,某日突然公司数据库中的所有数据被人为删了。
尽管有数据备份,但是因服务停止而造成的损失上千万,现在公司需要查出那个做删除操作的人。
但是拥有数据库操作权限的人很多,如何排查?证据又在哪?是不是觉得无能为力?
mysql本身并没有操作审计的功能,那是不是意味着遇到这种情况只能自认倒霉呢?
本文就将讨论一种简单易行的,用于mysql访问审计的思路。

二、概述:

其实mysql本身已经提供了详细的sql执行记录–general log ,但是开启它有以下几个缺点:
1)无论sql有无语法错误,只要执行了就会记录,导致记录大量无用信息,后期的筛选有难度。
2)sql并发量很大时,log的记录会对io造成一定的印象,是数据库效率降低。
3)日志文件很容易快速膨胀,不妥善处理会对磁盘空间造成一定影响。

三、本文观点:

使用init-connect + binlog的方法进行mysql的操作审计。
由于mysql binlog记录了所有对数据库长生实际修改的sql语句,及其执行时间,和connection_id但是却没有记录connection_id对应的详细用户信息。
因此本文将通过init-connect,在每次连接的初始化阶段,记录下这个连接的用户,和connection_id信息。
在后期审计进行行为追踪时,根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分析,得出最后的结论。

四、正文:

1.创建用于存放连接日志的数据库和表

注意:
该表必须能被每个客户端使用(INSERT权限),不然无法记录,更严重的是如果对该表没有权限会导致账号无法登陆MySQL!!!
所以,建议5.6及之前的版本使用test这个默认的数据库,它默认可被所有用户使用,5.7之后只自己创建公共库或者对每个账号赋权;

这里以自建公共库为例:

mysql> create database mylog;
Query OK, 1 row affected (0.00 sec)

mysql> use mylog;
Database changed

mysql> create table accesslog (
`connection_id` int(11) not null comment ‘链接ID‘,
`account` varchar(100) comment ‘使用的账号‘,
`login_user` varchar(100) comment ‘登录用户‘,
`login_time` timestamp comment ‘登录时间‘, 
 primary key (connection_id)
)engine=innodb comment=‘账号登录信息‘;

Query OK, 0 rows affected (0.01 sec)

2.将自定义库设置为公共库

备注:公共库的特点就是mysql.db表中对库的User字段为空,即没对库指定任何所有者。

1)先将自定义库赋权给一个用户,使其在mysql.db中拥有记录;

mysql> grant select,insert on mylog.* to ‘%‘; -- 这里‘%‘账号已经是系统中存在的
Query OK, 0 rows affected (0.00 sec)

2)修改自定义库在mysql.db中记录的User字段为空

mysql> select Select_priv,Insert_priv,User,Host from mysql.db where Db=‘mylog‘ and User=‘abc‘ ;
+-------------+-------------+------+------+
| Select_priv | Insert_priv | User | Host |
+-------------+-------------+------+------+
| Y           | Y           | abc  | %    |
+-------------+-------------+------+------+
1 row in set (0.00 sec)

修改前要注意过滤条件是正确的,小心操作影响其他记录

mysql> update mysql.db set User=‘‘ where Db=‘mylog‘ and User=‘abc‘ ;
Query OK, 1 row affected (0.00 sec)
Rows matched: 1  Changed: 1  Warnings: 0

mysql> select Select_priv,Insert_priv,User,Host,Db from mysql.db ;

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

3.设置init_connect

mysql> show global variables like ‘init_connect‘;
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| init_connect  |       |
+---------------+-------+
1 row in set (0.00 sec)

设置登陆后被触发执行的插入操作。

mysql> set global init_connect=‘insert into mylog.accesslog(connection_id,account,login_user,login_time) values(connection_id(),current_user(),user(),now());‘; 
Query OK, 0 rows affected (0.00 sec)

备注:如果是长期使用,可以将该配置写入配置文件。

查看设置后结果:

mysql> show global variables like ‘init_connect‘;
+---------------+-------------------------------------------------------------------------------------------------------------------------------+
| Variable_name | Value                                                                                                                         |
+---------------+-------------------------------------------------------------------------------------------------------------------------------+
| init_connect  | insert into mylog.accesslog(connection_id,account,login_user,login_time) values(connection_id(),current_user(),user(),now()); |
+---------------+-------------------------------------------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)

4.验证

执行登录前:

mysql> select * from mylog.accesslog;

执行登录操作:

[ ~]# mysql -ubook -p123456 -h192.168.32.2

登录后:

mysql> select * from mylog.accesslog;
+---------------+---------------+----------------+---------------------+
| connection_id | account       | login_user     | login_time          |
+---------------+---------------+----------------+---------------------+
|            26 | %        |  | 2020-05-07 11:45:11 |
+---------------+---------------+----------------+---------------------+
1 row in set (0.00 sec)

可以看到,登录后book用户的登录信息被记录了下来。

5.事后取消设置

1)取消参数配置
查询修改前参数值

mysql> show global variables like ‘init_connect‘;
+---------------+-------------------------------------------------------------------------------------------------------------------------------+
| Variable_name | Value                                                                                                                         |
+---------------+-------------------------------------------------------------------------------------------------------------------------------+
| init_connect  | insert into mylog.accesslog(connection_id,account,login_user,login_time) values(connection_id(),current_user(),user(),now()); |
+---------------+-------------------------------------------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)

还原参数值

mysql> set global init_connect=‘‘;

查看修改后参数内容

mysql> show global variables like ‘init_connect‘;
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| init_connect  |       |
+---------------+-------+
1 row in set (0.00 sec)

2)删除数据库权限记录信息

mysql> select Select_priv,Insert_priv,User,Host from mysql.db where Db=‘mylog‘ and User=‘‘ ;
+-------------+-------------+------+------+
| Select_priv | Insert_priv | User | Host |
+-------------+-------------+------+------+
| Y           | Y           |      | %    |
+-------------+-------------+------+------+
1 row in set (0.00 sec)

修改前要注意过滤条件是正确的,小心操作影响其他记录

mysql> delete from mysql.db where Db=‘mylog‘ and User=‘‘ ;
Query OK, 1 row affected (0.00 sec)

mysql> select Insert_priv,User,Host,Db from mysql.db ;

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

3)删除自定义数据库
备注:操作前要确认库中只有我们要删除的日志表

mysql> show tables from mylog;
+-----------------+
| Tables_in_mylog |
+-----------------+
| accesslog       |
+-----------------+
1 row in set (0.00 sec)

mysql> drop database mylog;
Query OK, 1 row affected (0.00 sec)

五、用于记录追踪

1.thread_id确认

假设想知道在2009年11月25日,上午9点多的时候,是谁吧test.dummy这个表给删了。可以用以下语句定位(-B线上匹配记录及其前共5行信息)

mysqlbinlog –start-datetime=‘2020-05-07 11:50:00‘ –stop-datetime=‘2020-05-07 11:55:00‘ binlog.xxxx | grep ‘dummy‘ -B 5

会得到如下结果(可见thread_id为5):

# at 300777
#200507 11:50:11 server id 10  end_log_pos 301396       Query   thread_id=5     exec_time=0     error_code=0
SET TIMESTAMP=1259052840;
drop table test.dummy;

2.用户确认

thread_id 确认以后,找到元凶就只是一条sql语句的问题了。

mysql> select * from mylog.accesslog where connection_id=5 ;

就能发现是干的了。

+---------------+---------------+---------------------+--------------------------+
| connection_id | account       | login_user          | login_time               |
+---------------+---------------+---------------------+--------------------------+
|            5  | %   |  | 2020-05-07 11:50:11      |
+---------------+---------------+---------------------+--------------------------+
1 row in set (0.00 sec)

六、Q&A

Q:使用init_connect会影响服务器性能吗?
A:理论上,只会在用户每次连接时往数据库里插入一条记录,不会对数据库产生很大影响。除非连接频率非常高(当然,这个时候需要注意的就是如何进行连接复用和控制,而非是不是要用这种方法的问题了)

Q:access-log表如何维护?
A: 由于是一个log系统,推荐使用archive存储引擎,有利于数据厄压缩存放。如果数据库连接数量很大的话,建议一定时间做一次数据导出,然后清表。

Q:表有其他用途么?
A:有!access-log表当然不只用于审计,当然也可以用于对于数据库连接的情况进行数据分析,例如每日连接数分布图等等,只有想不到没有做不到。

Q:会有遗漏的记录吗?
A:会的,init-connect 是不会在super用户登录时执行的。所以access-log里不会有数据库超级用户的记录,这也是为什么我们不主张多个超级用户,并且多人使用的原因。

相关推荐