在数字化时代数据库是企业核心资产的载体而 MySQL 作为全球使用最广泛的开源关系型数据库其安全问题直接关系到业务的稳定与数据的安全。一旦 MySQL 被攻破可能导致数据泄露、篡改甚至系统瘫痪造成不可估量的损失。本文整理了 MySQL 安全加固的十大硬核操作从账户、权限、配置到审计全方位防护帮你筑牢 MySQL 的安全防线。一、清理无用账户禁用空密码 / 匿名账户MySQL 默认安装后会存在匿名账户、空密码账户甚至测试库专用账户这些都是黑客攻击的突破口。操作步骤查看所有账户含主机权限sqlSELECT user, host, authentication_string FROM mysql.user;删除匿名账户、空密码账户及无用账户sql-- 删除匿名账户 DROP USER IF EXISTS localhost, %; -- 删除空密码账户替换为实际用户名/主机 DROP USER IF EXISTS rootlocalhost WHERE authentication_string ; -- 删除测试/无用账户例如test库账户 DROP USER IF EXISTS test%;刷新权限使修改生效sqlFLUSH PRIVILEGES;核心原则只保留业务必需的账户杜绝任何空密码账户匿名账户直接删除从源头减少攻击面。二、最小权限原则配置账户权限权限过大是 MySQL 安全的 “隐形炸弹”例如给普通业务账户授予ALL PRIVILEGES一旦账户泄露黑客可直接操控整个数据库。操作步骤为业务账户精准分配权限例仅允许查询 / 插入指定库表sql-- 创建业务账户指定仅允许内网IP访问替换为实际IP/账户名 CREATE USER app_user192.168.1.% IDENTIFIED BY StrongPass123; -- 授予仅对app_db库的读写权限拒绝grant权限 GRANT SELECT, INSERT, UPDATE, DELETE ON app_db.* TO app_user192.168.1.%; -- 禁止账户给其他账户授权 REVOKE GRANT OPTION ON *.* FROM app_user192.168.1.%;定期审计权限查看高权限账户sql-- 查看拥有ALL PRIVILEGES的账户 SELECT user, host FROM mysql.user WHERE Super_priv Y OR Grant_priv Y;核心原则“按需分配”业务账户仅授予完成工作必需的权限禁止普通账户拥有 SUPER、GRANT、CREATE USER 等高权限。三、修改 root 账户默认配置限制登录主机root 账户是 MySQL 的最高权限账户默认允许本地登录若被破解后果严重需从登录主机、账户名两方面加固。操作步骤修改 root 账户名降低被针对性攻击的概率sqlRENAME USER rootlocalhost TO admin_db_888localhost;限制 root或更名后的管理员账户仅内网 IP 登录sql-- 删除允许任意主机登录的root账户 DROP USER IF EXISTS admin_db_888%; -- 仅允许指定内网IP登录 CREATE USER admin_db_888192.168.1.100 IDENTIFIED BY RootStrongPass666; GRANT ALL PRIVILEGES ON *.* TO admin_db_888192.168.1.100 WITH GRANT OPTION;核心原则管理员账户禁止远程公网登录仅允许内网指定 IP 访问且避免使用 “root” 这类默认高辨识度账户名。四、强化密码策略定期更换密码弱密码是数据库被暴力破解的主要原因需通过配置强制使用强密码并定期更新。操作步骤启用 MySQL 密码验证插件MySQL 5.6sql-- 安装密码插件需root权限 INSTALL PLUGIN validate_password SONAME validate_password.so; -- 配置密码策略编辑my.cnf/my.ini [mysqld] validate_passwordON validate_password_length12 # 密码最小长度 validate_password_number_count1 # 至少1个数字 validate_password_special_char_count1 # 至少1个特殊字符 validate_password_mixed_case_count1 # 至少1个大小写字母设置密码过期策略sql-- 全局密码90天过期 SET GLOBAL default_password_lifetime 90; -- 为指定账户单独设置过期时间 ALTER USER app_user192.168.1.% PASSWORD EXPIRE INTERVAL 60 DAY;重启 MySQL 使配置生效bash运行# CentOS/RHEL systemctl restart mysqld # Ubuntu/Debian systemctl restart mysql核心原则密码需满足 “大小写字母 数字 特殊字符” 组合长度≥12 位每 60-90 天强制更换避免使用与账户名、业务名相关的弱密码。五、禁用危险函数限制敏感操作MySQL 部分内置函数如LOAD_FILE、INTO OUTFILE可能被黑客利用读取 / 写入服务器文件需禁用或限制。操作步骤编辑 my.cnf/my.ini添加禁用危险函数的配置ini[mysqld] # 禁用文件操作函数 secure_file_priv/tmp # 限制文件读写仅/tmp目录空值则完全禁用 disable_functionsLOAD_FILE,INTO_OUTFILE,EXECUTE # 禁用指定危险函数 # 禁止符号链接避免通过软链接访问系统文件 skip_symbolic_linksON禁止使用LOCAL INFILE防止本地文件注入sqlSET GLOBAL local_infile OFF;核心原则仅保留业务必需的函数禁用所有文件操作类、执行类危险函数从功能层面阻断黑客利用漏洞的可能。六、开启 SSL/TLS 加密保护数据传输MySQL 默认传输数据为明文若数据在网络中被拦截可直接获取敏感信息需开启 SSL/TLS 加密传输。操作步骤生成 SSL 证书MySQL 自带工具bash运行# 生成证书指定存储路径需mysql用户有权限 mysql_ssl_rsa_setup --datadir/var/lib/mysql/ssl/编辑 my.cnf/my.ini 启用 SSLini[mysqld] sslON ssl_ca/var/lib/mysql/ssl/ca.pem ssl_cert/var/lib/mysql/ssl/server-cert.pem ssl_key/var/lib/mysql/ssl/server-key.pem # 强制所有连接使用SSL可选 require_secure_transportON为账户强制启用 SSL 登录sqlALTER USER app_user192.168.1.% REQUIRE SSL;核心原则生产环境必须开启 SSL/TLS敏感业务账户强制要求 SSL 连接杜绝明文传输导致的数据泄露。七、配置防火墙限制数据库端口访问MySQL 默认端口 3306若对公网开放极易成为扫描和攻击目标需通过防火墙限制仅允许可信 IP 访问。操作步骤Linux 防火墙iptables/firewalld限制 3306 端口bash运行# firewalld方式CentOS 7 # 仅允许192.168.1.0/24网段访问3306 firewall-cmd --permanent --add-rich-rulerule familyipv4 source address192.168.1.0/24 port protocoltcp port3306 accept # 拒绝其他所有IP访问3306 firewall-cmd --permanent --add-rich-rulerule familyipv4 port protocoltcp port3306 reject # 重载防火墙规则 firewall-cmd --reload云服务器额外配置安全组在阿里云 / 腾讯云等平台的安全组规则中仅放行可信内网 IP / 办公 IP 访问 3306 端口禁止 0.0.0.0/0 访问。核心原则3306 端口严禁对公网开放仅允许业务服务器、管理终端等可信 IP 访问最小化暴露面。八、开启审计日志监控敏感操作没有审计的安全是不完整的开启审计日志可记录所有数据库操作便于事后溯源和异常排查。操作步骤启用 MySQL 通用日志 / 慢查询日志基础审计ini[mysqld] # 通用日志记录所有操作生产环境可按需开启 general_logON general_log_file/var/log/mysql/general.log # 慢查询日志记录耗时操作便于发现异常 slow_query_logON slow_query_log_file/var/log/mysql/slow.log long_query_time2 # 执行时间超过2秒的查询记录 log_queries_not_using_indexesON # 记录未使用索引的查询专业审计推荐使用 MySQL Enterprise Audit 插件或第三方审计工具如 Percona Audit Log Plugin精准记录账户登录、权限变更、数据修改等敏感操作。核心原则审计日志需定期备份日志文件权限设置为仅 root/mysql 用户可读写避免被篡改且至少保留 90 天以上。九、定期备份数据测试恢复流程安全加固无法完全避免故障定期备份是最后一道防线需确保备份可用、恢复流程可落地。操作步骤全量备份 增量备份结合使用 mysqldump 或 xtrabackupbash运行# 全量备份每日凌晨执行加入crontab mysqldump -u admin_db_888 -p -A -F -R --single-transaction /backup/mysql_full_$(date %Y%m%d).sql # 增量备份使用xtrabackup效率更高 innobackupex --incremental /backup/mysql_inc_$(date %Y%m%d) --incremental-basedir/backup/mysql_full_20260323定期测试恢复bash运行# 模拟恢复到测试库 mysql -u test_user -p test_db /backup/mysql_full_20260323.sql核心原则备份文件需加密存储且存放于不同服务器 / 地域每周至少测试一次恢复流程确保备份有效。十、及时更新补丁关闭不必要功能MySQL 官方会定期发布安全补丁修复已知漏洞同时关闭不必要的功能如分区、存储过程减少攻击面。操作步骤定期更新 MySQL 版本bash运行# CentOS/RHEL通过yum yum update mysql-community-server -y # Ubuntu/Debian通过apt apt update apt upgrade mysql-server -y关闭不必要功能编辑 my.cnf/my.iniini[mysqld] # 关闭存储过程业务无需则禁用 log_bin_trust_function_creatorsOFF # 关闭分区功能无需则禁用 skip-partition # 禁用本地Infile防止注入 local_infile0核心原则生产环境选择LTS 长期支持版本及时安装安全补丁仅启用业务必需的功能模块。总结账户与权限是基础清理无用账户、最小权限分配、限制管理员登录范围从源头减少攻击入口传输与密码是核心强制 SSL 加密、强密码策略 定期更换杜绝明文泄露和暴力破解审计与备份是保障开启操作审计便于溯源定期备份 恢复测试应对极端安全事件。