MySQL安全加固需系统性解决“谁在连、连什么、怎么连、连了能做什么”四大问题,分层阻断:先网络隔离(禁公网、绑内网IP、改端口),再认证强化(删匿名账号、重命名root、启密码强度与防爆破),接着权限最小化(按需授权、分角色管控),最后通信加密(强制SSL)与审计日志(开启错误/慢查日志、禁通用日志)。
MySQL数据库安全加固不是堆砌功能,而是围绕“谁在连、连什么、怎么连、连了能做什么”四个核心问题系统性收紧。关键不在于一步到位,而在于分层阻断攻击路径:先隔离网络暴露面,再收紧身份认证,接着限制权限范围,最后补上通信与审计短板。
网络与部署层面加固
这是最基础也最关键的防线,目标是让数据库“看不见、连不上”:
- 禁用公网直连:数据库服务器必须部署在内网或私有VPC中,严禁配置公网IP或通过NAT/端口映射暴露到互联网
- 绑定监听地址:修改my.cnf中的bind-address,设为127.0.0.1(仅本地)或具体内网IP(如192.168.10.5),禁止使用0.0.0.0
- 更改默认端口:将port=3306改为非标端口(如54321),配合防火墙策略双重过滤
- 关闭无关服务:用nmap -sT 本机IP扫描开放端口,停用SSH、HTTP等非必要服务;操作系统只保留MySQL专用账户(如mysql用户),禁止root运行mysqld进程
- 数据目录独立分区:执行SELECT @@datadir;确认当前路径,确保不在/、/var、/usr等系统分区;建议挂载独立磁盘并设置chown -R mysql:mysql /data/mysql和chmod 750 /data/mysql
账号与认证强化
弱口令、空密码、冗余账号是高频突破口,必须从源头清理并建立强约束:
- 删除匿名账号:DELETE FROM mysql.user WHERE user = '';后执行FLUSH PRIVILEGES;
- 重命名root账户:避免使用默认用户名,执行UPDATE mysql.user SET user='dbadmin' WHERE user='root';并刷新权限
- 禁用root远程登录:DELETE FROM mysql.user WHERE user='root' AND host!='localhost';
- 启用密码强度插件:INSTALL PLUGIN validate_password SONAME 'validate_password.so';,并在my.cnf中配置:
validate_password_policy = STRONG
validate_password_length = 14
validate_password_mixed_case_count = 1
validate_password_number_count = 1
validate_password_special_char_count = 1 - 强制密码定期更换:default_password_lifetime
= 90写入my.cnf,或对指定用户执行ALTER USER 'appuser'@'%' PASSWORD EXPIRE INTERVAL 90 DAY;
- 防暴力破解:加载连接控制插件,在my.cnf中添加:
plugin-load-add=connection_control.so
connection-control=FORCE_PLUS_PERMANENT
connection-control-failed-connections-threshold=3
connection-control-min-connection-delay=86400000(锁定24小时)
= 90写入my.cnf,或对指定用户执行ALTER USER 'appuser'@'%' PASSWORD EXPIRE INTERVAL 90 DAY;
权限最小化与访问控制
遵循“够用即止”原则,杜绝GRANT ALL式粗放授权:
- 检查高危权限账户:SELECT user, host FROM mysql.user WHERE (Select_priv = 'Y') OR (Insert_priv = 'Y') OR (Update_priv = 'Y') OR (Delete_priv = 'Y') OR (Create_priv = 'Y') OR (Drop_priv = 'Y'); —— 仅保留必要管理账号
- 业务账号严格限定范围:例如应用账号只授予SELECT, INSERT, UPDATE, DELETE,且限制在具体数据库(ON app_db.*),禁止跨库或全局操作
- 只读账号单独创建:CREATE USER 'reporter'@'192.168.10.%' IDENTIFIED BY 'xxx'; GRANT SELECT ON app_db.* TO 'reporter'@'192.168.10.%';
- 定期清理闲置账号:SELECT user, host, password_last_changed FROM mysql.user WHERE account_locked = 'N' AND DATE_SUB(NOW(), INTERVAL 180 DAY) > password_last_changed; —— 对超期未改密且未锁定的账号及时处置
通信加密与日志审计
防止中间人窃听和操作行为失察,补全最后一环:
- 启用SSL/TLS:SHOW VARIABLES LIKE 'have_openssl';确认返回YES;配置ssl_ca、ssl_cert、ssl_key路径,并在my.cnf中设置require_secure_transport = ON
- 强制客户端使用SSL:ALTER USER 'appuser'@'%' REQUIRE SSL;
- 开启关键日志:
log_error = /var/log/mysql/error.log
slow_query_log = ON
general_log = OFF(生产环境禁用通用日志)
建议启用审计插件(如audit_log)记录所有DML/DCL操作 - 清除敏感历史:rm -f $HOME/.mysql_history,并设置export MYSQL_HISTFILE=/dev/null加入~/.bashrc
