当前位置：首页 > article >正文

MySQL 安装后安全加固实操：从空密码警告到配置安全远程访问（Ubuntu 18.04 + MySQL 5.7）

article 2026/5/14 2:03:31

MySQL 安全加固实战从空密码警告到生产级配置在Ubuntu服务器上部署MySQL数据库时许多开发者会惊讶地发现安装后竟然可以直接用mysql -uroot无密码登录。这种默认配置在生产环境中无异于敞开大门邀请不速之客。本文将带你完成从基础安装到生产级安全配置的全过程特别针对Ubuntu 18.04 MySQL 5.7组合中的典型安全隐患。1. 诊断初始安全状态刚安装完MySQL 5.7后执行以下命令检查用户认证方式SELECT user, host, plugin, authentication_string FROM mysql.user WHERE user root;典型输出会显示root用户使用auth_socket插件----------------------------------------------------- | user | host | plugin | authentication_string | ----------------------------------------------------- | root | localhost | auth_socket | | -----------------------------------------------------auth_socket的工作机制当系统用户与MySQL用户名相同时系统会验证当前Linux用户权限而非密码。这意味着以root身份登录Linux后可直接访问MySQL其他系统用户无法通过密码验证访问远程连接完全被阻断查看错误日志会发现明显的警告信息grep password /var/log/mysql/error.log注意生产环境中永远不应该保留这种默认配置即使是在内网环境中。2. 密码认证改造实战2.1 修改root认证方式将认证方式改为密码验证并设置强密码ALTER USER rootlocalhost IDENTIFIED WITH mysql_native_password BY YourStrongPassword123!; FLUSH PRIVILEGES;关键参数说明mysql_native_password传统的密码哈希认证插件FLUSH PRIVILEGES立即生效权限变更验证修改效果mysql -uroot -p现在会提示输入密码空密码登录方式已失效。2.2 密码安全最佳实践避免在命令行直接暴露密码# 不安全的方式会在进程列表暴露密码 mysql -uroot -pYourPassword # 推荐方式 mysql --defaults-extra-file~/.mylogin.cnf创建安全凭证文件# ~/.mylogin.cnf [client] userroot passwordYourStrongPassword123! hostlocalhost设置文件权限chmod 600 ~/.mylogin.cnf3. 远程访问安全配置3.1 修改绑定地址编辑MySQL配置文件sudo vim /etc/mysql/mysql.conf.d/mysqld.cnf找到并修改bind-addressbind-address 0.0.0.0警告仅当确实需要远程访问时才修改此设置否则应保持默认的127.0.0.13.2 创建专用远程账户避免直接使用root账户远程连接CREATE USER remote_admin% IDENTIFIED WITH mysql_native_password BY AnotherStrongPassword!; GRANT ALL PRIVILEGES ON *.* TO remote_admin% WITH GRANT OPTION; FLUSH PRIVILEGES;账户权限设计原则为不同应用创建独立账户遵循最小权限原则限制host范围为具体IP段如192.168.1.%4. 高级安全加固措施4.1 密码策略配置修改全局密码策略SET GLOBAL validate_password_policyLOW; -- 可选MEDIUM, STRONG SET GLOBAL validate_password_length10;查看当前策略SHOW VARIABLES LIKE validate_password%;4.2 防火墙规则配置使用UFW限制访问来源sudo ufw allow from 192.168.1.0/24 to any port 3306 sudo ufw enable4.3 启用SSL加密检查SSL状态SHOW VARIABLES LIKE %ssl%;创建强制使用SSL的用户ALTER USER remote_admin% REQUIRE SSL;5. 初始化安全方案对比当出现严重配置问题时可以考虑重新初始化数据库方案命令特点适用场景安全初始化mysqld --initialize --usermysql生成随机root密码全新安装快速初始化mysqld --initialize-insecure --usermysql空密码root账户开发测试传统方式mysql_install_db --usermysql旧版兼容方式特殊需求重新初始化后的操作流程在错误日志中查找临时密码使用临时密码首次登录立即修改root密码创建必要应用账户6. 日常运维安全实践建立定期安全检查清单每周检查审核异常登录尝试验证备份完整性检查未使用的账户每月检查轮换管理密码更新数据库补丁审查权限分配关键监控命令-- 查看当前连接 SHOW PROCESSLIST; -- 检查密码过期情况 SELECT user, host, password_last_changed FROM mysql.user; -- 查找空密码账户 SELECT user, host FROM mysql.user WHERE authentication_string ;配置日志审计# /etc/mysql/mysql.conf.d/mysqld.cnf [mysqld] log-error /var/log/mysql/error.log general_log 1 general_log_file /var/log/mysql/mysql.log slow_query_log 1 slow_query_log_file /var/log/mysql/mysql-slow.log记得定期清理和轮转日志文件避免磁盘空间耗尽。

MySQL 安装后安全加固实操：从空密码警告到配置安全远程访问（Ubuntu 18.04 + MySQL 5.7）

相关文章：

MySQL 安装后安全加固实操：从空密码警告到配置安全远程访问（Ubuntu 18.04 + MySQL 5.7）

AKShare架构深度解析：如何构建企业级金融数据接口平台

Marchand Balun设计原理与IE3D电磁仿真实践

极域电子教室破解终极指南：如何快速解除课堂控制实现学习自由

异构推测解码技术：加速大语言模型推理的突破方案

羽毛球正反手抽球

【实战指南】YOLOv5适配VisDrone：从数据转换到模型训练全流程解析

兔子需要通风吗？关键不是风，而是空气路径

【NotebookLM NLP辅助天花板级用法】：谷歌内部未公开的3类Prompt架构+2个隐藏API调用技巧

工会知识竞赛活动策划：凝聚职工、寓教于乐

用户NPS提升2.8倍的秘密：Lovable SaaS的3层共鸣架构，含Figma可复用组件库（限时开源）

流水线插件开发从3天缩短到10分钟：嘉为蓝鲸AI技能实战

Gemini Pro长上下文处理翻车现场全复盘，128K token真实压测数据曝光，你还在用默认配置？

智能体驱动的学术论文自动化展示系统：从PDF到交互式网站与视频

PET/SPECT医疗影像设备液冷系统核心技术解析

ARM指令集优化：MVN、ORR与PLD指令深度解析

9D传感器融合技术：原理、优化与应用

ARM架构自托管调试与追踪技术详解

单芯片编码器技术解析与运动控制革新

从德雷科风暴看关键通信网络备用电源失效与韧性加固策略

长期使用Taotoken的Token Plan套餐在项目成本控制上的实际感受

开源AR虚拟试衣项目openclaw-genpark-ar-tryon核心技术解析与实践

学术写作AI工具排雷指南：5款主流产品深度评测（涵盖毕业与发刊需求）

别再搞混了！设备上那个RJ45口是Console调试口，不是网口（附UART转RS-232电路详解）

诺云定制APP：赋能社区团购商家私域长效盈利

高效AI教材写作指南：借助AI工具，低查重完成40万字教材编写！

工业AI系统安全防护与零信任架构

AI Agent 对比和选型

AI生成教材不用愁！低查重AI写教材工具，轻松实现教材写作自由！

Loop：三步快速配置，让你的Mac窗口管理效率提升300%