课程设计报告课程名称:信息系统应用安全专业班级:学号:姓名:指导教师:报告日期:2016年5月26日计算机科学与技术学院目录实验 1 SQL Server安全 (1)1. SQL Server安全配置 (1)1.1 实验目的 (1)1.2 实验原理 (1)1.3 实验环境 (1)1.4 实验内容 (1)1.5 实验步骤 (2)2. SQL Server数据库备份与恢复 (10)2.1 实验目的 (10)2.2 实验原理 (10)2.3 实验环境 (10)2.4 实验内容 (10)2.5 实验步骤 (11)3. SQL Server安全审计 (15)3.1 实验目的 (15)3.2 实验原理 (15)3.3 实验环境 (16)3.4 实验内容 (16)3.5 实验步骤 (16)实验2 MySQL安全 (26)1. MySQL安全配置 (26)1.1 实验目的 (26)1.2 实验原理 (26)1.3 实验环境 (27)1.4 实验内容 (27)1.5 实验步骤 (27)2. MySQL数据库备份与恢复 (32)2.1 实验目的 (32)2.2 实验原理 (32)2.3 实验环境 (32)2.4 实验内容 (32)2.5 实验步骤 (32)3. MySQL安全审计 (37)3.1 实验目的 (37)3.2 实验原理 (37)3.3 实验环境 (38)3.4 实验内容 (39)3.5 实验步骤 (39)实验总结 (46)实验1 SQL Server安全SQL Server 是一个关系数据库管理系统。
它最初是由Microsoft Sybase 和Ashton-Tate 三家公司共同开发的,于1988 年推出了第一个OS/2 版本。
在Windows NT 推出后,Microsoft与Sybase 在SQL Server 的开发上就分道扬镳了。
Microsoft 将SQL Server 移植到Windows NT 系统上,专注于开发推广SQL Server 的Windows NT 版本。
Sybase 则较专注于SQL Server在UNIX 操作系统上的应用。
SQL Server 2000,是Microsoft 公司推出的SQL Server 数据库管理系统的新版本。
该版本继承了SQL Server 7.0 版本的优点,同时又比它增加了许多更先进的功能,具有使用方便、可伸缩性好、与相关软件集成程度高等优点。
可跨越从运行Microsoft Windows 98 的膝上型电脑,到运行Microsoft Windows 2000 的大型多处理器的服务器等多种平台使用。
1. SQL Server安全配置1.1实验目的掌握SQL Server 2000 数据库的安全配置1.2 实验原理SQL Server 2000 数据库中存在着账号和密码过于简单的现象,为了数据的安全,应该对其进行一定的设定,养成查看日志的习惯。
1.3 实验环境⑴操作系统:Windows 实验台⑵实验软件:SQL Server 20001.4 实验内容⑴使用安全的密码策略⑵使用安全的账号策略⑶查看数据库日志⑷管理SQL Server 内置存储过程xp_cmdshell控制系统1.5 实验步骤打开Windows 实验台,运行Windows 2003 系统;运行SQL Server 2000 的“查询分析器”和“企业管理器”。
1.5.1 使用安全的密码策略(1) 查看不符合密码要求的账号很多数据库账号的密码过于简单,同系统密码过于简单是一个道理。
对于sa更应该注意,同时不要让sa账号的密码写于应用程序或者脚本中。
健壮的密码是安全的第一步。
同时养成定期修改密码的好习惯。
数据库管理员应该定期查看是否有不符合密码要求的账号。
在如下图1.1所示,“查询分析器”窗口使用下面的SQL 语句:Use masterSelect name,PassWord from syslogins where passWord is null图1.1 查询结果图(2) 设置SA 用户的密码打开企业管理器,展开服务器组,然后展开服务器,如下图1.2所示。
图1.2展开结果图展开安全性,然后点击登录,如下图1.3所示。
图1.3展开结果图在细节窗格中,右键点击SA,然后点击属性,如下图1.4所示。
图1.4展开结果图在密码方框中,输入新的密码,如下图1.5所示。
图1.5修改sa的密码1.5.2 使用安全的账号策略由于SQL Server 不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个账号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa账号,只有当没有其它方法登录到SQL Server 实例(例如,当其它系统管理员不可用或忘记了密码)时才使用sa。
建议数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。
安全的账号策略还包括不要让管理员权限的账号泛滥。
SQL Server 的认证模式有Windows 身份认证和混合身份认证两种。
如果数据库管理员不希望操作系统管理员通过操作系统登录来接触数据库的话,可以在账号管理中把系统账号“BUILTIN\Administrators”删除,如下图1.6所示。
不过这样做的结果是一旦sa账号忘记密码的话,就没有办法来恢复了。
很多主机使用数据库应用只是用来做查询、修改等简单功能的,请根据实际需要分配账号,并赋予仅仅能够满足应用要求和需要的权限。
比如,只要查询功能的,那么就使用一个简单的public 账号能够select 就可以了。
图1.6 删除账号1.5.3 查看数据库日志定期查看SQL Server 日志检查是否有可疑的登录事件发生,如下图1.7所示:图1.7 查看日志1.5.4 管理SQL Server 内置存储过程xp_cmdshell控制系统(一)建立连接打开sql查询分析器,输入要访问的数据库地址(如实验台IP 地址),然后点击确定。
如下图1.8所示;利用SA 弱口令登录SQLServer 服务。
图1.8 弱口令登录(二) 执行查询并查看结果在新开的窗口中输入:xp_cmdshell“dir c:”;并按F5 执行查询。
如下图1.9所示。
1.9 查询图(三) 试图建立新用户输入:“xp_cmdshell "net user mytest 123456/add"”后将添加一个mytest用户,密码为123456,如下图1.10所示。
图 1.10建立新用户输入“xp_cmdshell"net user mytest"”查看用户列表,如下图1.11所示。
图1.11查看用户列表输入“xp_cmdshell“net user mytest /delete””删除新添加的用户mytest,如下图1.12所示:图1.12除新用户(四) 将新用户加入管理员组输入“xp_cmdshell "net localgroup administrators mytest/add"”,然后按F5 执行查询,如下图1.13所示。
图1.13将新用户加入管理员组输入“xp_cmdshell "net user mytest"”,检查修改结果,如下图1.14所示。
图1.14将新用户加入管理员组(五) 删除xp_cmdshell数据库用户通过存储过程xp_cmdshell,能调用到Windows 系统的内置命令,对系统安全是极大的威胁。
向数据库提交如下图1.16所示的sql语句,将xp_cmdshell存储过程从系统中删除。
图1.15从系统中删除xp_cmdshell存储过程验证是否删除成功,通过xp_cmdshell存储过程调用系统命令,看看是否删除成功。
恢复删除操作exec sp_addextendedprocxp_cmdshell ,@dllname =‘xplog70.dll'。
如图1.16所示:图1.16恢复删除xp_cmdshell存储过程2. SQL Server数据库备份与恢复2.1 实验目的⑴掌握数据的备份与恢复⑵了解数据备份的重要性2.2 实验原理数据库的建立和使用极大的方便了人们对数据的管理和应用,数据的稳定性和可恢复至关重要,因此要定期对数据库的数据进行备份。
2.3 实验环境⑴操作系统:Windows 实验台⑵实验软件:SQL Server 20002.4 实验内容⑴通过SQL Server 自带的备份功能备份数据库⑵利用SQL Server 自带的还原功能还原数据库2.5 实验步骤打开Windows 实验台,运行Windows 2003 系统;运行SQL Server 2000 的“查询分析器”和“企业管理器”。
2.5.1 SQL Server数据库备份(1) 打开企业管理器,展开服务器组,然后展开服务器,如下图2.1所示。
图2.1 展开服务器(2) 展开数据库,选中所要备份的数据库,单击鼠标右键,依次选择“所有任务”,“备份数据库”,如下图2.2所示。
图2.2 备份数据库(3) 在弹出的对话框中,依次修改:“名称”、“备份方式”、“目的”、“重写方式”,最后点“确定”,如下图2.3所示。
图2.3 备份数据库(4) 最后备份完成。
如下图2.4所示。
图2.4 备份数据库2.5.2 SQL Server数据库还原(1) 打开企业管理器,展开服务器组,然后展开服务器,如下图2.5所示。
图2.5 展开服务器(2) 展开数据库,选中所要还原的数据库,单击鼠标右键,依次选择“所有任务”,“还原数据库”,如下图2.6所示。
图2.6 还原数据库(3) 在弹出的对话框中,依次修改:“还原后的数据名”、“要还原的备份文件”,如下图2.7所示。
图2.7 还原数据库(4) 然后选择“选项”标签卡,选中“在现有数据库上强制还原”多选项,如下图2.8所示。
图2.8 还原数据库(5) 点击“确定”按钮开始还原最后还原完成,如下图2.9所示。
图2.9 还原数据库3.SQL Server安全审计3.1 实验目的掌握SQL Server 2000 数据库的安全审计设置和管理3.2 实验原理SQL Server 是一个关系数据库管理系统,是Microsoft 推出新一代数据管理与分析软件。
SQL Server 是一个全面的、集成的、端到端的数据解决方案,它为企业中的用户提供了一个安全、可靠和高效的平台用于企业数据管理和商业智能应用。
数据库的建立和使用极大的方便了人们对数据的管理和应用,同时数据的稳定性和可恢复至关重要。
而日志是数据库结构中非常重要但又经常被忽略的部分;它可以记录针对数据库的任何操作,并将记录结果保存在独立文件中。