应禁用远程 root 登录、限制监听地址、禁用危险函数插件、启用密码策略和日志审计。具体包括:删除 root@’%’ 等非 localhost 用户;设 bind-address=127.0.0.1 或
skip-networking;卸载 auth_socket 等非必要插件;配置 secure-file-priv 限制文件操作;安装 validate_password 插件并设强度策略;调高 log-error-verbosity 至 3 以记录客户端 IP。
修改 my.cnf 禁用远程 root 登录
MySQL 默认允许 root@localhost 本地登录,但若初始化时未显式限制,或配置了通配符主机(如 root@'%'),会极大增加被暴力破解或横向渗透的风险。安装后第一件事不是改密码,而是确认并清除非必要远程访问权限。
- 先用
mysql -u root -p登录,执行:SELECT user, host FROM mysql.user WHERE user = 'root'; - 若结果中含
root@'%'或root@'192.168.%'等非localhost条目,立即删除:DROP USER 'root'@'%'; - 确保只保留
root@localhost,且该账户仅用于本地维护,不用于应用连接
设置 skip-networking
skip-networking如果 MySQL 仅服务于本机应用(如 PHP-FPM、Python Flask 启动在同台机器),应彻底关闭 TCP 监听,避免 端口 暴露。否则至少将监听范围严格限定在内网或 localhost。
- 编辑
/etc/my.cnf(Linux)或my.ini(Windows),在[mysqld]段下添加:bind-address = 127.0.0.1 - 更彻底的方式是禁用网络协议 栈:
skip-networking(此时只能通过 socket 连接,
mysql -S /var/run/mysqld/mysqld.sock) - 注意:
skip-networkingbind-address不能共存;启用前者后,port和bind-address将被忽略
禁用危险函数和插件防止提权
某些内置函数(如 sys_exec、load_file)或插件(如 plugin_auth_socket 在非必要时)可能被利用绕过认证或执行系统命令,尤其在低版本 MySQL 中风险更高。
- 检查已加载插件:
SHOW PLUGINS; - 禁用非必需插件,例如移除文件系统读写能力:
UNINSTALL PLUGIN auth_socket;(仅当不用 socket 认证时)
- 在
[mysqld]中加入:secure-file-priv = /var/lib/mysql-files(限制
LOAD DATA INFILE和SELECT …… INTO OUTFILE的路径,设为NULL则完全禁用) - 避免使用
CREATE FUNCTION注册自定义 UDF,除非明确需要且已审计代码
启用强制密码策略和日志审计
默认 MySQL 对密码强度无约束,且错误登录不记录源 IP,这会让安全事件溯源变得困难。必须手动开启基础防护层。
- 加载密码验证组件(MySQL 5.7+):
INSTALL PLUGIN validate_password SONAME 'validate_password.so'; - 设置最低要求(示例):
SET GLOBAL validate_password.length = 12;
SET GLOBAL validate_password.policy = MEDIUM; - 开启通用查询日志不推荐(性能损耗大),但错误日志必须包含客户端地址:
log-error-verbosity = 3(MySQL 8.0.14+),并确保
log_error指向可写且受控目录 - 定期轮转日志:
mysqladmin flush-logs,配合 logrotate 防止填满磁盘
实际部署中,最常被忽略的是 secure-file-priv 的默认值——很多发行版包(如 Ubuntu 的 mysql-server)将其设为空字符串,等价于开放任意路径读写。这个配置项一旦遗漏,LOAD DATA INFILE 就可能成为 RCE 入口。
