MySQL安全与审计之：`MySQL`的`Password Expiration`：其在密码生命周期管理中的应用。

好的，下面我们开始今天关于MySQL安全与审计的讲座，重点讨论MySQL的Password Expiration（密码过期）及其在密码生命周期管理中的应用。

MySQL密码过期（Password Expiration）在密码生命周期管理中的应用

密码是访问数据库系统的重要凭证，密码安全直接关系到整个数据库的安全。密码生命周期管理是数据库安全的重要组成部分，它涉及到密码的创建、修改、使用、过期和销毁等环节。密码过期是密码生命周期管理中的关键环节，通过强制用户定期更改密码，可以有效降低密码泄露或被破解的风险。

一、密码过期的必要性

为什么我们需要设置密码过期策略？原因如下：

1. 降低密码泄露风险： 即使密码不幸泄露，通过设置密码过期时间，可以缩短密码有效时间，降低泄露密码被恶意利用的时间窗口。

2. 应对暴力破解： 暴力破解是常见的密码攻击手段。即使攻击者能够通过暴力破解获取密码，密码过期策略也能限制其利用时间。

3. 符合合规性要求： 许多行业标准和法规（如PCI DSS、HIPAA等）都要求定期更改密码，以确保数据安全。

4. 提升用户安全意识： 强制用户定期更改密码，可以提醒用户注意密码安全，养成良好的密码使用习惯。

二、MySQL密码过期的实现方式

MySQL提供了多种方式来管理密码过期，主要包括：

1. 全局密码策略： 通过全局变量设置默认的密码过期策略，影响所有新创建的用户。

2. 用户级别密码策略： 针对特定用户设置不同的密码过期策略，以满足不同用户的安全需求。

3. 密码历史记录： 记录用户历史密码，防止用户重复使用旧密码。

三、MySQL密码过期相关参数

MySQL中与密码过期相关的参数主要有以下几个：

参数名称	作用	适用版本
default_password_lifetime	设置全局默认密码过期天数。如果设置为0，则表示密码永不过期。	MySQL 8.0+
password_history	设置密码历史记录数量，防止用户重复使用最近使用过的密码。	MySQL 8.0+
password_require_current	设置修改密码时是否需要提供当前密码。	MySQL 8.0+
password_reuse_interval	设置密码重用间隔天数，限制用户在一定时间内不能重复使用旧密码。	MySQL 8.0+
password_verify_length	设置密码最小长度。	MySQL 8.0+
password_verify_dictionary_file	指定密码字典文件，用于检查密码是否过于简单。	MySQL 8.0+
password_verify_function	指定自定义密码验证函数，用于实现更复杂的密码验证逻辑。	MySQL 8.0+

四、配置密码过期策略

下面我们通过一些示例来演示如何配置密码过期策略。

1. 设置全局默认密码过期时间

-- 查看当前全局密码过期时间
SELECT @@default_password_lifetime;

-- 设置全局默认密码过期时间为90天
SET GLOBAL default_password_lifetime = 90;

-- 刷新权限，使配置生效
FLUSH PRIVILEGES;

注意： 修改全局变量需要SUPER权限。

2. 设置用户级别密码过期时间

-- 创建用户
CREATE USER 'testuser'@'localhost' IDENTIFIED BY 'password';

-- 修改用户密码过期时间为60天
ALTER USER 'testuser'@'localhost' PASSWORD EXPIRE INTERVAL 60 DAY;

-- 查看用户密码过期时间
SELECT user, host, password_lifetime FROM mysql.user WHERE user = 'testuser';

-- 设置用户密码永不过期
ALTER USER 'testuser'@'localhost' PASSWORD EXPIRE NEVER;

-- 设置用户密码立即过期，下次登录需要修改密码
ALTER USER 'testuser'@'localhost' PASSWORD EXPIRE;

3. 设置密码历史记录

-- 设置密码历史记录数量为5
SET GLOBAL password_history = 5;

-- 设置密码重用间隔为30天
SET GLOBAL password_reuse_interval = 30;

-- 刷新权限
FLUSH PRIVILEGES;

4. 修改密码时需要提供当前密码

-- 设置修改密码时需要提供当前密码
SET GLOBAL password_require_current = ON;

-- 刷新权限
FLUSH PRIVILEGES;

5. 密码复杂度验证

虽然MySQL本身没有直接控制密码复杂度的参数（早期版本），但是可以通过插件或UDF(User Defined Function)来实现。MySQL 8.0 引入了 validate_password 组件，提供了强大的密码策略管理功能。

-- 安装 validate_password 组件
INSTALL COMPONENT 'file://component_validate_password';

-- 查看 validate_password 组件的配置
SHOW VARIABLES LIKE 'validate_password%';

-- 设置密码最小长度
SET GLOBAL validate_password.length = 8;

-- 设置密码强度等级 (LOW, MEDIUM, STRONG)
SET GLOBAL validate_password.policy = MEDIUM;

-- 设置密码必须包含数字
SET GLOBAL validate_password.number_count = 1;

-- 设置密码必须包含小写字母
SET GLOBAL validate_password.mixed_case_count = 1;

-- 设置密码必须包含特殊字符
SET GLOBAL validate_password.special_char_count = 1;

-- 刷新权限
FLUSH PRIVILEGES;

五、密码过期后的处理

当用户密码过期后，MySQL会阻止用户登录，并提示用户修改密码。用户可以使用以下方式修改密码：

-- 使用 ALTER USER 语句修改密码
ALTER USER 'testuser'@'localhost' IDENTIFIED BY 'new_password';

-- 如果设置了 password_require_current，则需要提供当前密码
ALTER USER 'testuser'@'localhost' IDENTIFIED BY 'new_password' REQUIRE CURRENT PASSWORD;

-- 使用 SET PASSWORD 语句修改密码（需要连接到 MySQL 服务器）
SET PASSWORD = PASSWORD('new_password'); -- 不推荐，PASSWORD() 函数在 MySQL 8.0 中被标记为 deprecated
-- 推荐使用：
ALTER USER USER() IDENTIFIED BY 'new_password';

六、监控密码过期情况

我们需要定期监控用户的密码过期情况，以便及时发现潜在的安全风险。可以通过以下方式监控密码过期情况：

1. 查询 mysql.user 表： mysql.user 表中的 password_lifetime 列记录了用户的密码过期时间。可以编写SQL语句查询即将过期的用户。

   SELECT user, host, password_lifetime
   FROM mysql.user
   WHERE password_lifetime IS NOT NULL AND password_lifetime < (NOW() + INTERVAL 30 DAY); -- 查询30天内过期的用户

2. 审计日志： 如果开启了审计日志，可以记录用户密码修改事件，并分析密码修改频率和规律。

七、最佳实践

1. 设置合理的密码过期时间： 密码过期时间不宜过短，否则会增加用户负担，导致用户选择过于简单的密码。也不宜过长，否则会增加密码泄露的风险。建议根据实际情况，设置合理的密码过期时间。通常90天是一个比较合适的选择。

2. 启用密码历史记录： 启用密码历史记录，防止用户重复使用旧密码，增加密码破解难度。

3. 强制密码复杂度： 强制用户使用包含大小写字母、数字和特殊字符的复杂密码，提高密码强度。validate_password 组件是最佳选择。

4. 定期监控密码过期情况： 定期监控用户密码过期情况，及时发现并处理潜在的安全风险。

5. 教育用户： 向用户普及密码安全知识，提高用户安全意识，引导用户选择安全强度高的密码，并定期更改密码。

6. 考虑使用双因素认证（2FA）： 对于高安全要求的系统，可以考虑使用双因素认证，进一步提高安全性。

八、代码示例：创建一个存储过程用于监控即将过期的密码

DELIMITER //

CREATE PROCEDURE CheckPasswordExpiration(IN days_until_expiration INT)
BEGIN
  -- 创建临时表来存储即将过期的用户
  CREATE TEMPORARY TABLE IF NOT EXISTS ExpiringPasswords (
    user VARCHAR(255),
    host VARCHAR(255),
    password_lifetime DATETIME
  );

  -- 清空临时表
  TRUNCATE TABLE ExpiringPasswords;

  -- 将即将过期的用户插入临时表
  INSERT INTO ExpiringPasswords (user, host, password_lifetime)
  SELECT user, host, password_lifetime
  FROM mysql.user
  WHERE password_lifetime IS NOT NULL
    AND password_lifetime <= (NOW() + INTERVAL days_until_expiration DAY)
    AND password_lifetime > NOW(); -- 只显示尚未过期的密码

  -- 查询临时表，显示即将过期的用户
  SELECT user, host, password_lifetime FROM ExpiringPasswords;

  -- 删除临时表 (可选，如果每次都创建一个新的)
  -- DROP TEMPORARY TABLE IF EXISTS ExpiringPasswords;
END //

DELIMITER ;

-- 调用存储过程，查询30天内即将过期的用户
CALL CheckPasswordExpiration(30);

-- 示例：创建一个事件（event）定期执行此存储过程
-- (需要 event_scheduler=ON)
SET GLOBAL event_scheduler = ON;

DELIMITER //
CREATE EVENT IF NOT EXISTS PasswordExpirationCheckEvent
ON SCHEDULE EVERY 1 DAY
STARTS CURRENT_TIMESTAMP
DO
  BEGIN
    CALL CheckPasswordExpiration(30);
  END //
DELIMITER ;

代码解释：

• CheckPasswordExpiration 存储过程： 接受一个参数 days_until_expiration，表示距离过期还有多少天。它创建一个临时表 ExpiringPasswords，存储即将过期的用户名、主机和过期时间。然后，它查询 mysql.user 表，将符合条件的用户信息插入临时表，并最终显示临时表中的数据。
• PasswordExpirationCheckEvent 事件： 每天执行一次 CheckPasswordExpiration 存储过程，查询30天内即将过期的用户。 如果 event_scheduler 未启用，需要先启用它。

九、密码过期策略的挑战和权衡

实施密码过期策略并非没有挑战。过于严格的策略可能会导致以下问题：

• 用户疲劳： 频繁更改密码会给用户带来不便，可能导致用户选择容易忘记的简单密码，或者将密码记录在不安全的地方。
• 支持成本： 忘记密码的用户需要重置密码，增加了支持团队的工作量。
• 密码重用： 为了避免记住多个复杂密码，用户可能会在不同系统中使用相同的密码，一旦一个密码泄露，可能会影响多个系统。

因此，在制定密码过期策略时，需要在安全性和用户体验之间进行权衡。

结论：维护良好的数据库安全

密码过期是密码生命周期管理的重要组成部分，通过合理配置密码过期策略，可以有效降低密码泄露和被破解的风险。在实施密码过期策略时，需要综合考虑安全性、用户体验和支持成本，制定合理的策略，并定期监控密码过期情况，及时发现并处理潜在的安全风险。同时要结合密码复杂度验证，审计等方法维护良好的数据库安全。