MySQL 数据库安全配置最佳实践

---

MySQL 数据库安全配置最佳实践

在数据库管理中，保障数据库的安全性是至关重要的。MySQL 作为常见的关系型数据库管理系统，合理的安全配置能够有效预防安全漏洞和非法访问，确保数据的完整性、机密性和可用性。本文将深入探讨 MySQL 安全配置的最佳实践，包括账户配置要求、日志配置要求及其他关键配置项，并提供具体的操作步骤、回退操作及风险提示。

---

账户与权限管理

账户最小化原则

安全要求：禁止共享账户，按角色创建独立账户
检查方法：

SELECT user, host FROM mysql.user 
WHERE user NOT IN ('mysql.sys','mysql.session','mysql.infoschema');

操作步骤：

-- 创建应用账户（MySQL 5.7+）
CREATE USER 'testuser'@'192.168.1.%' IDENTIFIED BY 'TEst@123!';
GRANT SELECT, INSERT ON app_db.* TO 'testuser'@'192.168.1.%';-- 创建只读监控账户
CREATE USER 'monitor'@'192.168.1.1' IDENTIFIED WITH caching_sha2_password BY 'TEst@123!';
GRANT SELECT, PROCESS, REPLICATION CLIENT ON *.* TO 'monitor'@'192.168.1.1';

回退方案：

SHOW GRANTS FOR 'testuser'@'192.168.1.%';  -- 记录原权限
REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'testuser'@'192.168.1.%';
DROP USER IF EXISTS 'testuser'@'192.168.1.%';

风险提示：删除账户前需确认相关应用已下线，避免服务中断

---

权限最小化配置

安全要求：遵循最小权限原则
检查工具：

mysql> SHOW GRANTS FOR CURRENT_USER();  -- 查看当前用户权限
mysql> SELECT * FROM information_schema.user_privileges;  -- 全量权限审计

高危权限清单：

• FILE：允许文件系统访问
• SUPER：绕过权限限制
• PROCESS：查看所有会话
• RELOAD：刷新权限/日志
• SHUTDOWN：关闭数据库

权限回收示例：

REVOKE DROP, ALTER, CREATE USER ON *.* FROM 'testuser'@'%';

---

密码策略强化

企业级密码策略：

-- 全局密码策略（MySQL 8.0+）
SET GLOBAL validate_password.policy = STRONG;
SET GLOBAL validate_password.length = 12;
SET GLOBAL validate_password.mixed_case_count = 2;
SET GLOBAL validate_password.number_count = 2;
SET GLOBAL validate_password.special_char_count = 1;

具体含义如下：

1. SET GLOBAL validate_password.policy = STRONG;

• 作用： 设置密码复杂度要求的策略为 STRONG（强）。
• 解释： 在 validate_password.policy 中，常见的值有：
  • LOW：只要求密码长度大于等于 8 个字符。
  • MEDIUM：要求密码不仅具有足够的长度，还要求包括字母、数字及特殊字符。
  • STRONG：要求密码长度和复杂度更高，通常需要包括大写字母、小写字母、数字和特殊字符。

2. SET GLOBAL validate_password.length = 12;

• 作用： 设置密码的最小长度为 12 个字符。
• 解释： 这个设置规定了所有用户密码必须至少包含 12 个字符。较长的密码比短密码更难以被破解。

3. SET GLOBAL validate_password.mixed_case_count = 2;

• 作用： 设置密码中 大写字母和小写字母 的最小个数为 2。
• 解释： 这意味着密码中必须至少包含 2 个大写字母和 2 个小写字母，这样可以提高密码的复杂度。

4. SET GLOBAL validate_password.number_count = 2;

• 作用： 设置密码中 数字 的最小个数为 2。
• 解释： 这要求密码至少包含 2 个数字，数字的加入可以增加密码的复杂性。

5. SET GLOBAL validate_password.special_char_count = 1;

• 作用： 设置密码中 特殊字符（如 @、#、$、% 等）的最小个数为 1。
• 解释： 这个设置要求密码至少包含一个特殊字符，增加密码的强度，使其不容易被猜测。

密码生命周期管理：

ALTER USER 'admin'@'localhost' 
PASSWORD EXPIRE INTERVAL 90 DAY
FAILED_LOGIN_ATTEMPTS 5 
PASSWORD_LOCK_TIME 1;

---

认证与访问控制

禁用匿名账户

检查与处理：

SELECT user, host FROM mysql.user WHERE user = '';
-- 清理匿名账户
DROP USER IF EXISTS ''@'localhost';

启用安全认证

# my.cnf配置
[mysqld]
default_authentication_plugin=caching_sha2_password  # MySQL 8默认
secure_auth = ON

---

网络安全防护

访问源限制

企业级方案：

-- 仅允许指定IP段访问
CREATE USER 'admintest'@'10.20.30.%' IDENTIFIED BY 'AAASSS!@#2323';
GRANT ALL ON *.* TO 'admintest'@'10.20.30.%';

禁用远程root访问

DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1');

启用SSL加密

SHOW VARIABLES LIKE '%ssl%';  -- 验证证书状态
ALTER USER 'remote_user'@'%' REQUIRE SSL;

---

日志审计与监控

全量审计配置

# my.cnf配置
[mysqld]
log_error = /var/log/mysql/error.log
general_log = 1
general_log_file = /var/log/mysql/general.log
slow_query_log = 1
log_queries_not_using_indexes = 1

二进制日志管理

SET GLOBAL expire_logs_days = 7;  -- 保留7天
SET GLOBAL binlog_format = ROW;  -- 行级复制

---

服务端安全加固

关键参数配置

[mysqld]
local_infile = OFF
skip_symbolic_links = ON
skip_name_resolve = ON
secure_file_priv = /var/lib/mysql-files

文件权限控制

chmod 750 /var/lib/mysql
chown -R mysql:mysql /var/lib/mysql

---

灾备与应急响应

定期备份策略

# 物理备份工具
mysqlbackup --user=backup --password=TT@@EE33$$ --backup-dir=/backups backup-and-apply-log

安全事件响应

• 建立账号变更审批流程
• 配置实时入侵检测系统（IDS）
• 制定数据库脱敏规范

---

实施注意事项

1. 变更窗口：在业务低峰期执行配置变更
2. 配置备份：修改前备份my.cnf文件
3. 灰度验证：先在测试环境验证配置变更
4. 监控回滚：变更后观察数据库性能指标
5. 文档同步：更新运维手册和CMDB记录

---

总结

通过实施本指南中的安全配置，可有效构建MySQL数据库的多层防御体系。建议每季度进行安全审计，配合漏洞扫描和渗透测试，持续提升数据库安全水位。对于云环境下的托管数据库（如RDS），需结合云平台的安全能力进行综合防护。