文章目录
前言
要保证 MySQL 数据库的安全性,需从多个层面进行防护,以下是具体措施:
`
一、用户权限管理
- 最小权限原则
为每个用户分配仅必要的权限,避免使用 root 账户进行日常操作。
示例:创建只读用户
c
CREATE USER'read_only'@'%' IDENTIFIED BY 'password';
GRANT SELECT ON mydb.* TO'read_only'@'%';- 定期清理无用账户
c
DROP USER 'unused_user'@'localhost';- 限制远程访问
禁止 root 远程登录,仅允许特定 IP 访问:
c
CREATE USER 'admin'@'192.168.1.%' IDENTIFIED BY 'password';
GRANT ALL PRIVILEGES ON *.* TO 'admin'@'192.168.1.%';二、密码安全
- 强密码策略
使用至少 12 位、包含大小写字母、数字和特殊符号的密码。
定期修改密码(建议每 3-6 个月一次):
ALTER USER 'user'@'host' IDENTIFIED BY 'new_strong_password';
- 加密存储密码
MySQL 5.7 + 默认使用caching_sha2_password插件加密密码,确保配置文件中密码不明文存储。
三、网络安全
- 防火墙配置
仅开放必要端口(默认 3306),限制访问源 IP:
c
# UFW 示例(仅允许192.168.1.0/24网段访问)
sudo ufw allow from 192.168.1.0/24 to any port 3306- 使用 SSL/TLS 加密连接
生成 SSL 证书并配置 MySQL:
c
# 修改my.cnf
[mysqld]
ssl-ca=/path/to/ca.pem
ssl-cert=/path/to/server-cert.pem
ssl-key=/path/to/server-key.pem四、数据加密
- 透明数据加密(TDE)
对数据文件和日志进行加密(需企业版或第三方插件)。 - 敏感数据加密
使用 MySQL 内置函数加密特定字段:
UPDATE users SET credit_card = AES_ENCRYPT('1234-5678', 'encryption_key');
五、定期备份与恢复
- 自动化备份
使用mysqldump或mysqlpump定期全量备份:
c
mysqldump -u root -p --all-databases > backup.sql结合工具(如cron)实现每日自动备份。
- 异地存储
将备份文件存储在不同物理位置或云存储中,防止本地灾难。 - 定期测试恢复流程
每月验证备份文件的可用性,确保数据可恢复。
六、审计与监控
- 启用审计日志
记录所有数据库活动(需企业版或第三方插件):
c
# 修改my.cnf
[mysqld]
plugin-load-add=audit_log.so
audit_log_format=JSON- 监控异常行为
使用工具(如 Percona Toolkit)监控慢查询、异常登录等:
pt-query-digest slow.log > slow-query-report.txt
- 定期安全审计
检查权限配置、用户账户、日志文件,修复潜在漏洞。
七、系统更新与漏洞修复
- 及时打补丁
定期更新 MySQL 版本,修复已知安全漏洞。 - 禁用不必要功能
关闭未使用的插件和服务(如远程存储过程调用):
c
# 修改my.cnf
[mysqld]
skip-external-locking八、应用层安全
- SQL 注入防护
使用预处理语句(Prepared Statements):
c
# Python示例
cursor.execute("SELECT * FROM users WHERE username = %s", (username,))- 输入验证
在应用层过滤用户输入,拒绝非法字符(如单引号、分号)。
九、安全配置最佳实践
- 修改默认端口
在my.cnf中修改端口(如改为 3307),降低被扫描的风险。 - 限制文件访问
禁止用户通过LOAD_FILE()或SELECT...INTO OUTFILE读取或写入敏感文件:
c
# 修改my.cnf
[mysqld]
secure-file-priv=/var/lib/mysql-files/- 分离生产环境与测试环境
使用不同的数据库实例,避免测试数据影响生产环境。