0

0

mysql root用户权限如何限制_mysql安全最佳实践

P粉602998670

P粉602998670

发布时间:2026-02-26 10:31:03

|

728人浏览过

|

来源于php中文网

原创

应为每个应用创建专用账号并限制权限,禁用root远程登录,收缩监听地址,启用密码策略插件,移除file/super权限,按角色分层授权以平衡安全与运维需求。

mysql root用户权限如何限制_mysql安全最佳实践

root用户不该直接用于应用连接

MySQL 的 root 用户默认拥有所有权限,包括 DROP DATABASESHUTDOWNFILE 等高危操作。生产环境里用 root 跑应用或中间件,等于把数据库的“物理钥匙”交给了业务代码——一旦应用被注入或配置泄露,整个实例可能瞬间清空。

实操建议:

  • 为每个应用单独创建专用账号,例如 app_payment,只赋予 SELECTINSERTUPDATEDELETE 权限,且限定在对应数据库(如 payment_db)内
  • 禁用 root 的远程登录:
    DELETE FROM mysql.user WHERE User='root' AND Host!='localhost'; FLUSH PRIVILEGES;
  • 若必须远程管理,改用跳板机 + SSH 隧道,或通过 mysql -h 127.0.0.1 -u root(走 TCP)而非 -h localhost(走 socket),再配合防火墙限制源 IP

如何安全地回收 root 的 FILE 和 SUPER 权限

FILE 权限允许读写服务器任意文件(如 SELECT ... INTO OUTFILE 可导出 /etc/passwd),SUPER 则能 kill 线程、修改全局变量、绕过 binlog 控制——这两项是提权和持久化攻击的关键跳板。

MySQL 8.0+ 不支持直接 REVOKE FILE ON *.* FROM 'root'(因为它是超级用户隐式权限),必须从根源限制:

  • 启动时加参数 --secure-file-priv=/var/lib/mysql-files/,强制 LOAD DATA INFILE 只能读该目录下的文件
  • 移除 rootSUPER 权限需先启用 skip-grant-tables 模式重置,但更稳妥的做法是:用 CREATE USER 'dba_admin'@'localhost' IDENTIFIED BY 'xxx' WITH ADMIN OPTION; 创建替代管理员,并确保其不带 FILE
  • 检查残留风险:SELECT User,Host,File_priv,Super_priv FROM mysql.user WHERE User='root';,输出应为 NNULL

密码策略与认证插件要硬性启用

默认的 mysql_native_password 插件不强制复杂度,且旧版本允许空密码。MySQL 5.7+ 提供 validate_password 插件,但需手动加载并设阈值。

Baklib
Baklib

在线创建产品手册、知识库、帮助文档

下载

执行顺序不能错:

  • 先加载插件:
    INSTALL PLUGIN validate_password SONAME 'validate_password.so';
  • 再设强度:SET GLOBAL validate_password.policy = MEDIUM;(要求至少 1 个大写、1 个小写、1 个数字、1 个特殊字符,长度 ≥ 8)
  • root 强制改密:ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'NewPass!2024';
  • 验证是否生效:SELECT VALIDATE_PASSWORD_STRENGTH('weak'); → 0SELECT VALIDATE_PASSWORD_STRENGTH('StrongP@ss2024'); → 100

监听地址和网络层必须收缩

MySQL 默认绑定 0.0.0.0:3306,只要端口开放,就可能被暴力破解或未授权访问。很多运维人员只改了 bind-address 却忘了防火墙同步。

关键动作:

  • 配置文件中明确写 bind-address = 127.0.0.1(仅本地),或指定内网 IP(如 192.168.10.5),绝不要留空或写 *
  • 操作系统级封堵:ufw deny 3306(Ubuntu)或 firewall-cmd --permanent --remove-port=3306/tcp(CentOS)
  • 确认无其他监听进程:netstat -tlnp | grep :3306,输出中的 Local Address 应为设定 IP,不是 *:3306
  • 如果用了云服务(如阿里云 RDS),安全组规则比 MySQL 自身配置更优先,务必检查入方向是否只放行 DBA 跳板机 IP

真正难的是权限收敛后的故障定位——比如某个凌晨三点的慢查询突然卡住,而你又没留 PROCESS 权限给监控账号,这时候连 SHOW PROCESSLIST 都看不到。所以最小权限不是一味砍,而是按角色分层:dba\_readonly、dba\_admin、app\_writer,每层之间用视图或代理做隔离。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
mysql修改数据表名
mysql修改数据表名

MySQL修改数据表:1、首先查看数据库中所有的表,代码为:‘SHOW TABLES;’;2、修改表名,代码为:‘ALTER TABLE 旧表名 RENAME [TO] 新表名;’。php中文网还提供MySQL的相关下载、相关课程等内容,供大家免费下载使用。

681

2023.06.20

MySQL创建存储过程
MySQL创建存储过程

存储程序可以分为存储过程和函数,MySQL中创建存储过程和函数使用的语句分别为CREATE PROCEDURE和CREATE FUNCTION。使用CALL语句调用存储过程智能用输出变量返回值。函数可以从语句外调用(通过引用函数名),也能返回标量值。存储过程也可以调用其他存储过程。php中文网还提供MySQL创建存储过程的相关下载、相关课程等内容,供大家免费下载使用。

412

2023.06.21

mongodb和mysql的区别
mongodb和mysql的区别

mongodb和mysql的区别:1、数据模型;2、查询语言;3、扩展性和性能;4、可靠性。本专题为大家提供mongodb和mysql的区别的相关的文章、下载、课程内容,供大家免费下载体验。

286

2023.07.18

mysql密码忘了怎么查看
mysql密码忘了怎么查看

MySQL是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,属于 Oracle 旗下产品。MySQL 是最流行的关系型数据库管理系统之一,在 WEB 应用方面,MySQL是最好的 RDBMS 应用软件之一。那么mysql密码忘了怎么办呢?php中文网给大家带来了相关的教程以及文章,欢迎大家前来阅读学习。

519

2023.07.19

mysql创建数据库
mysql创建数据库

MySQL是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,属于 Oracle 旗下产品。MySQL 是最流行的关系型数据库管理系统之一,在 WEB 应用方面,MySQL是最好的 RDBMS 应用软件之一。那么mysql怎么创建数据库呢?php中文网给大家带来了相关的教程以及文章,欢迎大家前来阅读学习。

264

2023.07.25

mysql默认事务隔离级别
mysql默认事务隔离级别

MySQL是一种广泛使用的关系型数据库管理系统,它支持事务处理。事务是一组数据库操作,它们作为一个逻辑单元被一起执行。为了保证事务的一致性和隔离性,MySQL提供了不同的事务隔离级别。php中文网给大家带来了相关的教程以及文章欢迎大家前来学习阅读。

392

2023.08.08

sqlserver和mysql区别
sqlserver和mysql区别

SQL Server和MySQL是两种广泛使用的关系型数据库管理系统。它们具有相似的功能和用途,但在某些方面存在一些显著的区别。php中文网给大家带来了相关的教程以及文章,欢迎大家前来学习阅读。

539

2023.08.11

mysql忘记密码
mysql忘记密码

MySQL是一种关系型数据库管理系统,关系数据库将数据保存在不同的表中,而不是将所有数据放在一个大仓库内,这样就增加了速度并提高了灵活性。那么忘记mysql密码我们该怎么解决呢?php中文网给大家带来了相关的教程以及其他关于mysql的文章,欢迎大家前来学习阅读。

639

2023.08.14

batoto漫画官网入口与网页版访问指南
batoto漫画官网入口与网页版访问指南

本专题系统整理batoto漫画官方网站最新可用入口,涵盖最新官网地址、网页版登录页面及防走失访问方式说明,帮助用户快速找到batoto漫画官方平台,稳定在线阅读各类漫画内容。

327

2026.02.25

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
MySQL 教程
MySQL 教程

共48课时 | 2.4万人学习

MySQL 初学入门(mosh老师)
MySQL 初学入门(mosh老师)

共3课时 | 0.3万人学习

简单聊聊mysql8与网络通信
简单聊聊mysql8与网络通信

共1课时 | 837人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号