mysql安装完成后修改默认配置提高安全性
应禁用远程root登录、限制监听地址、禁用危险函数插件、启用密码策略和日志审计。具体包括:删除root@'%'等非localhost用户;设bind-address=127.0.0.1或skip-networking;卸载auth_socket等非必要插件;配置secure-file-priv限制文件操作;安装validate_password插件并设强度策略;调高log-error-verbosity至3以记录客户端IP。
修改 my.cnf 禁用远程 root 登录
MySQL 默认允许 root@localhost 本地登录,但若初始化时未显式限制,或配置了通配符主机(如 root@'%'),会极大增加被暴力破解或横向渗透的风险。安装后第一件事不是改密码,而是确认并清除非必要远程访问权限。
- 先用
mysql -u root -p登录,执行:SELECT user, host FROM mysql.user WHERE user = 'root';
- 若结果中含
root@'%'或root@'192.168.%'等非localhost条目,立即删除:DROP USER 'root'@'%';
- 确保只保留
root@localhost,且该账户仅用于本地维护,不用于应用连接
设置 skip-networking 或绑定到本地地址
如果 MySQL 仅服务于本机应用(如 PHP-FPM、Python Flask 启动在同台机器),应彻底关闭 TCP 监听,避免端口暴露。否则至少将监听范围严格限定在内网或 localhost。
- 编辑
/etc/my.cnf(Linux)或my.in(Windows),在
i[mysqld]段下添加:bind-address = 127.0.0.1
- 更彻底的方式是禁用网络协议栈:
skip-networking
(此时只能通过 socket 连接,mysql -S /var/run/mysqld/mysqld.sock) - 注意:
skip-networking与bind-address不能共存;启用前者后,port和bind-address将被忽略
i禁用危险函数和插件防止提权
某些内置函数(如 sys_exec、load_file)或插件(如 plugin_auth_socket 在非必要时)可能被利用绕过认证或执行系统命令,尤其在低版本 MySQL 中风险更高。
- 检查已加载插件:
SHOW PLUGINS;
- 禁用非必需插件,例如移除文件系统读写能力:
UNINSTALL PLUGIN auth_socket;
(仅当不用 socket 认证时) - 在
[mysqld]中加入:secure-file-priv = /var/lib/mysql-files
(限制LOAD DATA INFILE和SELECT ... INTO OUTFILE的路径,设为NULL则完全禁用) - 避免使用
CREATE FUNCTION注册自定义 UDF,除非明确需要且已审计代码
启用强制密码策略和日志审计
默认 MySQL 对密码强度无约束,且错误登录不记录源 IP,这会让安全事件溯源变得困难。必须手动开启基础防护层。
- 加载密码验证组件(MySQL 5.7+):
INSTALL PLUGIN validate_password SONAME 'validate_password.so';
- 设置最低要求(示例):
SET GLOBAL validate_password.length = 12;
SET GLOBAL validate_password.policy = MEDIUM; - 开启通用查询日志不推荐(性能损耗大),但错误日志必须包含客户端地址:
log-error-verbosity = 3
(MySQL 8.0.14+),并确保log_error指向可写且受控目录 - 定期轮转日志:
mysqladmin flush-logs,配合 logrotate 防止填满磁盘
secure-file-priv 的默认值——很多发行版包(如 Ubuntu 的 mysql-server)将其设为空字符串,等价于开放任意路径读写。这个配置项一旦遗漏,LOAD DATA INFILE 就可能成为 RCE 入口。
