Checklist di Sicurezza per un Server MySQL

Un server MySQL contiene i tuoi dati più preziosi. Metterlo in sicurezza è un passo fondamentale di qualsiasi processo di hardening di un server.

1. Esegui `mysql_secure_installation`

Dopo aver installato MySQL, il primo comando da lanciare è `mysql_secure_installation`. Questo script interattivo ti guida attraverso alcuni passi di sicurezza fondamentali:

• Impostare una password robusta per l'utente `root`.
• Rimuovere gli utenti anonimi.
• Disabilitare il login remoto per l'utente `root`.
• Rimuovere il database di test.

2. Non Esporre MySQL su Internet

Il tuo database server non dovrebbe mai essere raggiungibile direttamente da Internet. Deve trovarsi in una rete privata e il suo firewall deve accettare connessioni sulla porta 3306 solo dall'IP del tuo application server. Nel file di configurazione di MySQL (`my.cnf`), puoi impostare `bind-address = 127.0.0.1` per assicurarti che accetti connessioni solo locali.

3. Applica il Principio del Privilegio Minimo

Non usare l'utente `root` per la tua applicazione. Crea un utente specifico per ogni applicazione con solo i permessi strettamente necessari. Se un'applicazione ha solo bisogno di leggere i dati, creale un utente con solo i privilegi di `SELECT`.

CREATE USER 'app_user'@'localhost' IDENTIFIED BY 'password_forte';
GRANT SELECT, INSERT, UPDATE ON mio_database.* TO 'app_user'@'localhost';

4. Mantieni il Software Aggiornato

Applica regolarmente le patch di sicurezza sia per il sistema operativo che per il server MySQL stesso.

5. Abilita il Logging

Abilita il general query log e lo slow query log in un ambiente di sviluppo per il debug. In produzione, assicurati che l'error log sia attivo e monitorato. I log sono fondamentali per l'analisi post-incidente.

6. Configura i Backup

Usa strumenti come `mysqldump` per creare backup logici regolari del tuo database e conservali in un luogo sicuro e separato, come un bucket S3.