MySQL 安全加固需系统性解决“谁在连、连什么、怎么连、连了能做什么”四大问题,分层阻断:先网络隔离(禁公网、绑内网 IP、改端口),再认证强化(删匿名账号、重命名 root、启密码强度与防爆破),接着权限最小化(按需授权、分角色管控),最后通信加密(强制 SSL)与审计日志(开启错误 / 慢查日志、禁通用日志)。
MySQL 数据库安全加固不是堆砌功能,而是围绕“谁在连、连什么、怎么连、连了能做什么”四个核心问题系统性收紧。关键不在于一步到位,而在于分层阻断攻击路径:先隔离网络暴露面,再收紧身份认证,接着限制权限范围,最后补上通信与审计短板。
网络与部署层面加固
这是最基础也最关键的防线,目标是让数据库“看不见、连不上”:
- 禁用公网直连:数据库服务器必须部署在内网或私有 VPC 中,严禁配置公网 IP 或通过 NAT/端口 映射暴露到互联网
- 绑定监听地址:修改 my.cnf 中的bind-address,设为127.0.0.1(仅本地)或具体内网 IP(如192.168.10.5),禁止使用0.0.0.0
- 更改默认端口:将 port=3306 改为非标端口(如 54321),配合 防火墙 策略双重过滤
- 关闭无关服务:用 nmap -sT 本机 IP 扫描开放端口,停用 SSH、HTTP 等非必要服务;操作系统 只保留 MySQL 专用账户(如 mysql 用户),禁止 root 运行 mysqld 进程
- 数据目录独立分区:执行 SELECT @@datadir; 确认当前路径,确保不在 /、/var、/usr 等系统分区;建议挂载独立磁盘并设置 chown -R mysql:mysql /data/mysql 和chmod 750 /data/mysql
账号与认证强化
弱口令、空密码、冗余账号是高频突破口,必须从源头清理并建立强约束:
- 删除匿名账号:DELETE FROM mysql.user WHERE user = ”;后执行FLUSH PRIVILEGES;
- 重命名 root 账户:避免使用默认用户名,执行 UPDATE mysql.user SET user=’dbadmin’ WHERE user=’root’; 并刷新权限
- 禁用 root 远程登录:DELETE FROM mysql.user WHERE user=’root’ AND host!=’localhost’;
- 启用密码强度插件:INSTALL PLUGIN validate_password SONAME ‘validate_password.so’;,并在 my.cnf 中配置:
validate_password_policy = STRONG
validate_password_length = 14
validate_password_mixed_case_count = 1
validate_password_number_count = 1
validate_password_special_char_count = 1 - 强制密码定期更换:default_password_lifetime = 90写入my.cnf,或对指定用户执行ALTER USER ‘appuser’@’%’ PASSWORD EXPIRE INTERVAL 90 DAY;
- 防暴力破解:加载连接控制插件,在 my.cnf 中添加:
plugin-load-add=connection_control.so
connection-control=FORCE_PLUS_PERMANENT
connection-control-failed-connections-threshold=3
connection-control-min-connection-delay=86400000(锁定 24 小时)
权限最小化与访问控制
遵循“够用即止”原则,杜绝 GRANT ALL 式粗放授权:
- 检查高危权限账户:SELECT user, host FROM mysql.user WHERE (Select_priv = ‘Y’) OR (Insert_priv = ‘Y’) OR (Update_priv = ‘Y’) OR (Delete_priv = ‘Y’) OR (Create_priv = ‘Y’) OR (Drop_priv = ‘Y’); —— 仅保留必要管理账号
- 业务账号严格限定范围:例如应用账号只授予SELECT, INSERT, UPDATE, DELETE,且限制在具体数据库(ON app_db.*),禁止跨库或全局操作
- 只读账号单独创建:CREATE USER ‘reporter’@’192.168.10.%’ IDENTIFIED BY ‘xxx’; GRANT SELECT ON app_db.* TO ‘reporter’@’192.168.10.%’;
- 定期清理闲置账号:SELECT user, host, password_last_changed FROM mysql.user WHERE account_locked = ‘N’ AND DATE_SUB(NOW(), INTERVAL 180 DAY) > password_last_changed; —— 对超期未改密且未锁定的账号及时处置
通信加密与日志审计
防止中间人窃听和操作行为失察,补全最后一环:
- 启用 SSL/TLS:SHOW VARIABLES LIKE ‘have_openssl‘;确认返回 YES;配置ssl_ca、ssl_cert、ssl_key 路径,并在 my.cnf 中设置require_secure_transport = ON
- 强制客户端使用 SSL:ALTER USER ‘appuser’@’%’ REQUIRE SSL;
- 开启关键日志:
log_error = /var/log/mysql/error.log
slow_query_log = ON
general_log = OFF(生产环境禁用通用日志)
建议启用审计插件(如audit_log)记录所有 DML/DCL 操作 - 清除敏感历史:rm -f $HOME/.mysql_history,并设置 export MYSQL_HISTFILE=/dev/null 加入~/.bashrc
