mysql数据库安全加固怎么做_mysql安全加固清单

MySQL安全加固需系统性解决“谁在连、连什么、怎么连、连了能做什么”四大问题，分层阻断：先网络隔离（禁公网、绑内网IP、改端口），再认证强化（删匿名账号、重命名root、启密码强度与防爆破），接着权限最小化（按需授权、分角色管控），最后通信加密（强制SSL）与审计日志（开启错误/慢查日志、禁通用日志）。

MySQL数据库安全加固不是堆砌功能，而是围绕“谁在连、连什么、怎么连、连了能做什么”四个核心问题系统性收紧。关键不在于一步到位，而在于分层阻断攻击路径：先隔离网络暴露面，再收紧身份认证，接着限制权限范围，最后补上通信与审计短板。

网络与部署层面加固

这是最基础也最关键的防线，目标是让数据库“看不见、连不上”：

• 禁用公网直连：数据库服务器必须部署在内网或私有VPC中，严禁配置公网IP或通过NAT/端口映射暴露到互联网
• 绑定监听地址：修改my.cnf中的bind-address，设为127.0.0.1（仅本地）或具体内网IP（如192.168.10.5），禁止使用0.0.0.0
• 更改默认端口：将port=3306改为非标端口（如54321），配合防火墙策略双重过滤
• 关闭无关服务：用nmap -sT 本机IP扫描开放端口，停用SSH、HTTP等非必要服务；操作系统只保留MySQL专用账户（如mysql用户），禁止root运行mysqld进程
• 数据目录独立分区：执行SELECT @@datadir;确认当前路径，确保不在/、/var、/usr等系统分区；建议挂载独立磁盘并设置chown -R mysql:mysql /data/mysql和chmod 750 /data/mysql

账号与认证强化

弱口令、空密码、冗余账号是高频突破口，必须从源头清理并建立强约束：

先锋多用户商城系统

修改自网上仿乐购商城，新增功能：1、数据库在线备份与导入功能，可以随时备份数据库，数据受损可以导入数据库，确保数据安全；2、增加组合商品概念，可以用于组配商品销售（比如外套有蓝色和红色，鞋子有40码和41码等），买一送一、组合销售（比如上衣＋围巾＋长裙做为一个套装商品）和加价购买等销售方式；3、按照商品重量和送货距离实时计算精确运费，并可在订单中予以显示，使运费金额实现实时动态准确显示、清晰明了；

下载

• 删除匿名账号：DELETE FROM mysql.user WHERE user = '';后执行FLUSH PRIVILEGES;
• 重命名root账户：避免使用默认用户名，执行UPDATE mysql.user SET user='dbadmin' WHERE user='root';并刷新权限
• 禁用root远程登录：DELETE FROM mysql.user WHERE user='root' AND host!='localhost';
• 启用密码强度插件：INSTALL PLUGIN validate_password SONAME 'validate_password.so';，并在my.cnf中配置：
  validate_password_policy = STRONG
  validate_password_length = 14
  validate_password_mixed_case_count = 1
  validate_password_number_count = 1
  validate_password_special_char_count = 1
• 强制密码定期更换：default_password_lifetime = 90写入my.cnf，或对指定用户执行ALTER USER 'appuser'@'%' PASSWORD EXPIRE INTERVAL 90 DAY;
• 防暴力破解：加载连接控制插件，在my.cnf中添加：
  plugin-load-add=connection_control.so
  connection-control=FORCE_PLUS_PERMANENT
  connection-control-failed-connections-threshold=3
  connection-control-min-connection-delay=86400000（锁定24小时）

权限最小化与访问控制

遵循“够用即止”原则，杜绝GRANT ALL式粗放授权：

• 检查高危权限账户：SELECT user, host FROM mysql.user WHERE (Select_priv = 'Y') OR (Insert_priv = 'Y') OR (Update_priv = 'Y') OR (Delete_priv = 'Y') OR (Create_priv = 'Y') OR (Drop_priv = 'Y'); —— 仅保留必要管理账号
• 业务账号严格限定范围：例如应用账号只授予SELECT, INSERT, UPDATE, DELETE，且限制在具体数据库（ON app_db.*），禁止跨库或全局操作
• 只读账号单独创建：CREATE USER 'reporter'@'192.168.10.%' IDENTIFIED BY 'xxx'; GRANT SELECT ON app_db.* TO 'reporter'@'192.168.10.%';
• 定期清理闲置账号：SELECT user, host, password_last_changed FROM mysql.user WHERE account_locked = 'N' AND DATE_SUB(NOW(), INTERVAL 180 DAY) > password_last_changed; —— 对超期未改密且未锁定的账号及时处置

通信加密与日志审计

防止中间人窃听和操作行为失察，补全最后一环：

• 启用SSL/TLS：SHOW VARIABLES LIKE 'have_openssl';确认返回YES；配置ssl_ca、ssl_cert、ssl_key路径，并在my.cnf中设置require_secure_transport = ON
• 强制客户端使用SSL：ALTER USER 'appuser'@'%' REQUIRE SSL;
• 开启关键日志：
  log_error = /var/log/mysql/error.log
  slow_query_log = ON
  general_log = OFF（生产环境禁用通用日志）
  建议启用审计插件（如audit_log）记录所有DML/DCL操作
• 清除敏感历史：rm -f $HOME/.mysql_history，并设置export MYSQL_HISTFILE=/dev/null加入~/.bashrc