DevOps知识中心
DevOps知识中心

强化 MySQL 服务器安全配置的最佳实践

使用本综合指南中介绍的基本安全加固最佳实践来保护您的关键 MySQL 部署。了解如何实施强大的用户和访问管理,使用防火墙和 SSL/TLS 保护网络连接,微调 `my.cnf` 以实现最佳安全性,以及应用操作系统级别的保护。发现实用的配置技巧和可操作的步骤,以减轻常见漏洞、防止未经授权的访问,并确保数据库的完整性和机密性。任何负责 MySQL 安全的人都必读。

31 浏览量

MySQL服务器安全配置加固的最佳实践

MySQL 是无数应用程序的基石,为从小型博客到大型企业系统提供动力。它的受欢迎程度,虽然证明了其健壮性和灵活性,但也使其成为恶意攻击者频繁的目标。配置不当或未加固的 MySQL 服务器可能是一个重大的安全漏洞,暴露敏感数据并为未经授权访问您的整个基础架构提供入口。保护您的 MySQL 部署不是一次性任务,而是一项需要警惕和遵守安全最佳实践的持续承诺。

本文提供了有关基本配置技巧和安全加固措施的全面指南。我们将深入探讨各个安全层面,从用户管理和网络保护到配置文件调整和操作系统注意事项。通过实施这些建议,您可以显着减少 MySQL 服务器的攻击面,并构建一个更能抵御常见漏洞和未经授权访问尝试的弹性数据库环境。

1. 用户和访问管理:最小权限原则

有效的用户管理是 MySQL 安全的基础。仅授予用户绝对需要的权限至关重要。

为特定应用程序创建特定用户

避免使用 root 用户进行应用程序连接。相反,应创建具有精细权限的专用用户。

CREATE USER 'my_app_user'@'localhost' IDENTIFIED BY 'StrongPassword123!';
GRANT SELECT, INSERT, UPDATE, DELETE ON `your_database`.* TO 'my_app_user'@'localhost';
FLUSH PRIVILEGES;

强制执行强密码

强大、唯一的密码是您的第一道防线。如果可用,请利用 MySQL 内置的密码验证插件。

  • 复杂性:混合使用大写字母、小写字母、数字和符号。
  • 长度:目标是至少 12-16 个字符。
  • 唯一性:切勿重复使用密码。
  • 轮换:实施定期更改密码的策略。

您可以启用 validate_password 组件(MySQL 8.0+)或插件(MySQL 5.7+):

INSTALL COMPONENT 'file://component_validate_password';
-- OR for older versions
INSTALL PLUGIN validate_password SONAME 'validate_password.so';

-- 配置强度策略(例如,MEDIUM 要求 8 个以上字符、大小写混合、数字、特殊字符)
SET GLOBAL validate_password.policy = MEDIUM;
SET GLOBAL validate_password.length = 12;

删除默认和未使用的用户

MySQL 附带默认用户(例如 root@localhost)。虽然 root@localhost 是必需的,但请确保它具有强密码。关键是,删除或保护其他默认用户,如 mysql.sessionmysql.sys 和匿名用户,前提是它们不是明确需要的且未正确配置。

-- 识别匿名用户:
SELECT user, host FROM mysql.user WHERE user = '';
-- 删除匿名用户(如果找到):
DROP USER ''@'localhost';

-- 删除测试数据库(如果存在):
DROP DATABASE IF EXISTS test;
DELETE FROM mysql.db WHERE Db='test' OR Db='test\_%';
FLUSH PRIVILEGES;

限制主机访问

将用户帐户限制为仅允许从特定 IP 地址或主机名进行连接。除非绝对必要并结合其他强大的安全控制措施,否则避免使用 % 作为主机的通配符。

-- 用户只能从 localhost 连接
CREATE USER 'admin'@'localhost' IDENTIFIED BY 'AnotherStrongPass!';

-- 用户只能从特定 IP 地址连接
CREATE USER 'backup_user'@'192.168.1.100' IDENTIFIED BY 'BackupPass!';

谨慎使用 GRANT OPTION

WITH GRANT OPTION 子句允许用户将自己的权限授予其他用户。如果授予未经信任的用户,这可能是一个重大的安全风险。请谨慎使用,仅用于确实需要此功能的管理帐户。

-- 具有授予权限的用户(请极其谨慎使用)
GRANT ALL PRIVILEGES ON *.* TO 'superadmin'@'localhost' IDENTIFIED BY 'SuperAdminPass!' WITH GRANT OPTION;

2. 网络安全:隔离您的数据库

网络级别的控制对于防止未经授权的外部访问您的 MySQL 服务器至关重要。

配置防火墙

仅允许来自受信任 IP 地址或网络的连接访问 MySQL 的默认端口(3306)。阻止所有其他入站连接到此端口。

示例(Linux 上的 UFW):

sudo ufw enable
sudo ufw allow from 192.168.1.0/24 to any port 3306
sudo ufw deny 3306
sudo ufw status

示例(CentOS/RHEL 上的 firewalld):

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="3306" protocol="tcp" accept'
sudo firewall-cmd --permanent --remove-port=3306/tcp --zone=public # 确保它未全局开放
sudo firewall-cmd --reload

使用 SSL/TLS 保护连接

使用 SSL/TLS 加密客户端和 MySQL 服务器之间的所有流量,以防止窃听和中间人(MitM)攻击。这对于在不受信任的网络上的连接尤其重要。

要启用 SSL/TLS,通常需要生成 SSL 证书和密钥,然后配置您的 my.cnf

```ini

my.cnf

[mysqld