为 root 用户设置强密码并创建最小权限的专用用户;2. 禁止 root 远程登录,删除 'root'@'%' 账户并通过 ssh 隧道管理;3. 修改配置文件 bind-address = 127.0.0.1 限制网络监听;4. 使用防火墙(如 ufw)限制访问源 ip;5. 定期更新 mysql 版本并打安全补丁;6. 启用通用日志或审计插件进行行为审计;7. 配置 ssl/tls 加密连接并强制用户使用;8. 删除匿名用户和测试数据库,配置 skip-test-db;9. 遵循最小权限原则,避免授予高危权限;10. 定期加密备份数据并测试恢复流程,持续监控与审查权限以保障数据库安全。
配置 MySQL 数据库的安全性是保障数据完整性和防止未授权访问的关键步骤。以下是一些实用且必要的安全配置建议,适用于大多数生产环境。
MySQL 安装后默认有一个
root
建议做法:
root
ALTER USER 'root'@'localhost' IDENTIFIED BY 'YourStrongPassword123!'; FLUSH PRIVILEGES;
root
CREATE USER 'appuser'@'localhost' IDENTIFIED BY 'StrongPassword!'; GRANT SELECT, INSERT, UPDATE ON yourdb.* TO 'appuser'@'localhost';
默认情况下,
root
'root'@'%'
安全措施:
root
-- 删除远程 root 用户 DROP USER 'root'@'%'; DROP USER 'root'@'::1'; -- IPv6
MySQL 默认监听 3306 端口。如果数据库仅本地使用,应禁止网络监听。
修改配置文件(通常是 /etc/mysql/mysql.conf.d/mysqld.cnf
/etc/my.cnf
[mysqld] bind-address = 127.0.0.1
这表示只接受来自本机的连接。如需远程访问,应通过防火墙限制访问 IP,而不是开放给所有人。
即使 MySQL 开放了网络端口,也应通过系统防火墙控制访问源。
例如使用 ufw
# 只允许特定 IP 访问 MySQL sudo ufw allow from 192.168.1.100 to any port 3306 # 或者只允许本地访问 sudo ufw deny 3306
MySQL 社区和官方会定期发布安全补丁。使用过时版本可能面临已知漏洞的攻击。
建议:
记录登录尝试和查询行为有助于事后审计和入侵检测。
配置:
[mysqld] general_log = ON general_log_file = /var/log/mysql/query.log # 或启用更细粒度的审计插件(如 MySQL Enterprise Audit 或 MariaDB Audit Plugin)
注意:开启通用日志会影响性能,建议在调试或高安全需求时使用。
防止数据在传输过程中被窃听,特别是跨公网的连接。
启用 SSL:
SHOW VARIABLES LIKE '%ssl%';
GRANT ... REQUIRE SSL;
安装时可能创建了匿名账户和
test
清理命令:
-- 删除匿名用户 DROP USER ''@'localhost'; DROP USER ''@'%'; -- 删除测试数据库 DROP DATABASE IF EXISTS test;
同时在配置文件中添加:
[mysqld] skip-test-db
遵循最小权限原则,避免授予
GRANT ALL
FILE
SUPER
避免:
GRANT ALL PRIVILEGES ON *.* TO 'user'@'%';
推荐:
GRANT SELECT, INSERT, UPDATE ON appdb.* TO 'appuser'@'localhost';
即使数据库本身安全,没有备份也可能因勒索攻击或误删导致数据丢失。
建议:
mysqldump
基本上就这些核心措施。MySQL 安全不是一劳永逸的,需要持续监控、更新和审查权限。不复杂,但容易忽略细节。
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
779
收藏
