立即修改默认账户密码并设置强密码策略,删除匿名用户和测试数据库;限制远程访问,绑定本地地址,必要时创建特定IP访问的专用账户;严格控制文件权限,确保数据目录归属mysql用户并设置合理权限;启用错误日志、慢查询日志和通用查询日志以监控异常行为;定期更新MySQL版本并应用安全补丁,结合防火墙与SELinux等系统防护措施,全面提升数据库安全性。
加固MySQL数据库在Linux系统中是保障数据安全的重要步骤。很多默认配置并不适合生产环境,容易成为攻击入口。通过合理设置权限、网络、日志和文件访问控制,能显著提升安全性。以下是详细的加固操作指南。
1. 修改默认管理员账户与密码策略
MySQL安装后root账户通常无密码或使用弱密码,这是常见风险点。
操作建议:- 立即为root账户设置强密码:登录MySQL后执行
ALTER USER 'root'@'localhost' IDENTIFIED BY '你的高强度密码'; - 删除匿名用户:
DELETE FROM mysql.user WHERE User=''; - 移除测试数据库:
DROP DATABASE IF EXISTS test; - 刷新权限:
FLUSH PRIVILEGES;
2. 限制远程访问与绑定本地地址
除非必要,不应允许root从任意主机登录,尤其避免开放3306端口到公网。
安全配置方法:- 编辑MySQL配置文件(通常位于
/etc/mysql/mysql.conf.d/mysqld.cnf或/etc/my.cnf) - 找到
bind-address并设置为127.0.0.1,仅允许本地连接 - 如需远程访问,创建专用用户并限制IP:
CREATE USER 'admin'@'192.168.1.100' IDENTIFIED BY '强密码';GRANT SELECT, INSERT, UPDATE ON db_name.* TO 'admin'@'192.168.1.100';
3. 文件权限与目录安全
MySQL的数据目录和配置文件若权限过宽,可能被提权利用。
文件系统层面加固:
- 确保数据目录(如
/var/lib/mysql)归属mysql用户:chown -R mysql:mysql /var/lib/mysql - 设置合理权限:
chmod 750 /var/lib/mysql - 保护配置文件:
chmod 644 /etc/my.cnf且确保非root不可写
4. 启用日志审计与错误监控
开启日志可帮助发现异常行为和攻击尝试。
推荐启用的日志类型:-
错误日志:记录启动、运行中的错误,在配置文件中指定路径:
log_error = /var/log/mysql/error.log -
慢查询日志:识别性能瓶颈和潜在SQL注入:
slow_query_log = 1slow_query_log_file = /var/log/mysql/slow.loglong_query_time = 2 -
通用查询日志(谨慎开启):记录所有请求,仅用于调试:
general_log = 1general_log_file = /var/log/mysql/general.log
5. 定期更新与漏洞修复
旧版本MySQL可能存在已知漏洞,及时更新至关重要。
维护建议:- 定期检查MySQL版本:
SELECT VERSION(); - 使用系统包管理器更新:
Ubuntu/Debian:apt update && apt upgrade mysql-server
CentOS/RHEL:yum update mysql-server或dnf update mysql - 关注官方安全公告,及时应用补丁
基本上就这些。只要坚持最小权限原则、关闭不必要的功能、加强身份验证,并配合系统级防护(如防火墙、SELinux),就能有效提升MySQL在Linux下的安全性。
