遵循最小权限原则,创建专用用户并授仅必要权限,定期清理无效账户;2. 通过bind-address限制网络访问,结合防火墙控制IP接入;3. 启用validate_password插件强化密码策略,设置账户锁定防御暴力破解;4. 开启错误日志与通用查询日志,部署审计插件监控异常行为;5. 配置SSL/TLS加密数据传输,使用AES加密或TDE保护静态数据;6. 定期更新MySQL版本并备份配置与数据,持续维护安全策略。
MySQL 安全策略的配置是保障数据库系统稳定运行和数据安全的关键步骤。通过合理的权限管理、访问控制、日志审计和加密措施,可以有效防止未授权访问和数据泄露。以下是关键的安全策略设置方法。
1. 用户权限最小化原则
确保每个数据库用户只拥有完成其任
务所需的最小权限,避免使用 root 账户进行日常操作。
- 创建专用用户并限制其访问范围:
CREATE USER 'app_user'@'192.168.1.%' IDENTIFIED BY 'StrongPassword123!';
- 仅授予必要权限:
GRANT SELECT, INSERT ON mydb.orders TO 'app_user'@'192.168.1.%'; - 定期审查用户权限,删除不再使用的账户:
DROP USER 'old_user'@'%';
2. 启用网络访问控制
限制 MySQL 服务监听的网络接口,防止外部非法连接。
配置方式:- 编辑 my.cnf 或 my.ini 配置文件,在 [mysqld] 段添加:
bind-address = 127.0.0.1(仅本地访问)或指定内网 IP - 若需远程访问,结合防火墙规则限制源 IP:
例如 Linux 上使用 iptables 限制访问端口 3306
3. 强制密码策略与账户锁定
提高账户安全性,防止暴力破解和弱密码攻击。
启用方法:- 安装密码验证插件:
INSTALL PLUGIN validate_password SONAME 'validate_password.so'; - 设置密码强度等级:
SET GLOBAL validate_password.policy = MEDIUM; - 配置账户失败登录锁定(MySQL 8.0+支持):
CREATE USER 'secure_user'@'%' ACCOUNT LOCK;或使用角色管理失败尝试
4. 开启错误日志与审计功能
记录异常行为以便事后追溯和分析潜在威胁。
配置建议:- 启用错误日志:
在配置文件中设置:log_error = /var/log/mysql/error.log - 开启通用查询日志(谨慎使用,影响性能):
general_log = ONgeneral_log_file = /var/log/mysql/general.log - 使用企业版审计插件或社区替代方案如 MariaDB Audit Plugin(需额外安装)
5. 数据传输与存储加密
保护敏感数据在传输和静态状态下的安全。
实施方式:- 配置 SSL/TLS 加密连接:
生成服务器证书并在 my.cnf 中启用:[mysqld]
ssl-ca=ca.pem
ssl-cert=server-cert.pem
ssl-key=server-key.pem - 强制用户通过 SSL 连接:
ALTER USER 'secure_user'@'%' REQUIRE SSL; - 对敏感字段使用 AES_ENCRYPT() 函数加密存储,或启用透明数据加密(TDE,InnoDB 支持)
基本上就这些核心设置。合理组合以上策略能显著提升 MySQL 的整体安全性。注意定期更新 MySQL 版本以修复已知漏洞,并备份配置和数据以防误操作。安全不是一次性的任务,而是需要持续维护的过程。
