最小权限原则要求账号仅拥有履职必需的最低权限。需分应用、运维、审计三类账号,按角色精确授予权限;禁用通配符授权;每季度审计清理僵尸及高危账号;强化密码策略与认证方式;操作全程留痕并纳入审批流程。
数据库账号权限不是越强越好,而是够用就行。最小权限原则的核心是:每个账号只拥有完成其职责所必需的最低限度权限,不额外授予任何操作能力。
区分账号类型,按角色分配权限
生产环境至少应划分三类账号:应用连接账号、运维管理账号、审计只读账号。应用账号通常只需对特定表执行SELECT/INSERT/UPDATE,禁止DROP、CREATE、ALTER等DDL权限;运维账号可拥有DBA角色,但应通过跳板机或临时提权机制控制访问;审计账号仅允许连接并查询information_schema和业务视图,不可写入或跨库访问。
- 应用账号示例:GRANT SELECT, INSERT, UPDATE ON app_db.users TO 'app_user'@'10.20.%.%';
- 避免使用通配符授权:GRANT ALL PRIVILEGES ON *.* TO ... 是高危操作,必须禁用
- 权限应精确到库+表级,而非整个实例;敏感表(如user_password)可单独收回UPDATE权限
定期清理与权限复核
权限不会自动过期,但人员职责会变。建议每季度执行一次权限审计:检查是否存在6个月未登录的账号、离职人员残留账号、临时开通后未回收的高权限账号。可用如下SQL快速筛查:
- SELECT user, host, account_locked, password_last_changed FROM mysql.user WHERE password_last_changed
- 结合performance_schema.accounts查看活跃连接频次,识别“僵尸账号”
- 对变更频繁的账号(如CI/CD流水线账号),设置自动回收策略:首次授权时附加注释说明用途与有效期
密码与认证方式强化
弱密码等于权限失控。强制要求密码长度≥12位、含大小写字母+数字+符号,且禁止复用历史5次密码。更进一步,启用插件式认证(如caching_sha2_password)、绑定IP段、限制连接数,并关闭匿名用户。
- 创建账号时直接指定强策略:CREATE USER 'api_user'@'192.168.10.%' IDENTIFIED BY 'Xk9#qL2$vR!n' PASSWORD EXPIRE INTERVAL 90 DAY;
- 禁用空密码与test库默认账号:DROP USER ''@'localhost'; DROP DATABASE IF EXISTS test;
- 对关键账号启用双因素(如PAM插件对接LDAP/OTP),尤其适用于DBA账号
操作留痕与变更管控
谁在什么时候改了什么权限,必须可追溯。开启general_log或audit log(如MySQL Enterprise Audit或MariaDB Audit Plugin),记录所有GRANT/REVOKE语句。同时,将权限变更纳入配置管理流程——禁止手工执行,统一通过Ansible/Terraform模板审批发布。
- 日志中需包含client_ip、user@host、执行时间、SQL原文,便于事后定位
- 权限变更前必须触发审批流(如Jira工单+双人复核),审批通过后才允许执行
- 建立权限基线快照,每次变更后自动生成diff报告,推送至安全团队邮箱
