必须重置root密码并禁用空密码登录,将认证插件改为mysql_native_password;禁止root远程访问,创建最小权限专用账户;禁用secure_file_priv、local_infile和symbolic-links;启用错误日志审计并限制错误信息泄露。
修改默认 root 密码并禁用空密码登录
MySQL 安装后默认 root 用户常为空密码或仅本地访问,但若未显式设置,极易被暴力破解或本地提权。必须在初始化后立即重置密码,并确认认证方式不为 auth_socket(Ubuntu/Debian 默认),否则 SET PASSWORD 会静默失败。
- 连接时强制使用密码:
mysql -u root -p
- 进入后检查当前认证插件:
SELECT user, host, plugin FROM mysql.user WHERE user = 'root';
- 若
plugin是auth_socket,需先切为mysql_native_password:ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'StrongPass123!';
- 刷新权限:
FLUSH PRIVILEGES;
限制 root 远程访问并创建最小权限专用账户
生产环境绝不能开放 root@'%',也不建议长期使用 root@localho 执行业务操作。应分离管理账户与应用账户,按需授权。
st
- 删除任意主机的 root 记录(如果存在):
DROP USER 'root'@'%';
- 新建应用账户(如用于 WordPress):
CREATE USER 'wp_app'@'localhost' IDENTIFIED BY 'AppPass456!';
- 仅授予必要库表权限:
GRANT SELECT, INSERT, UPDATE ON `wordpress`.* TO 'wp_app'@'localhost';
- 禁止该用户拥有
GRANT OPTION或全局权限,避免权限扩散
关闭危险配置项:secure_file_priv、local_infile、symbolic-links
这些选项一旦开启,可能成为文件读写类漏洞的入口,尤其在 Web 应用存在 SQL 注入时风险极高。
- 检查当前值:
SHOW VARIABLES LIKE 'secure_file_priv';
若返回非NULL或空字符串,说明允许导入导出文件 - 在
my.cnf的[mysqld]段强制禁用:secure_file_priv = ""
local_infile = OFF
symbolic_links = OFF - 重启 MySQL 后验证:
SELECT @@local_infile;
应返回OFF - 注意:
secure_file_priv = ""表示完全禁用LOAD DATA INFILE和SELECT ... INTO OUTFILE,比设为/tmp更安全
启用错误日志审计并限制错误信息泄露
MySQL 默认错误日志不记录 SQL 语句本身,但客户端连接失败、权限拒绝等事件仍可暴露账户名、IP、甚至部分查询结构。Web 错误页若直接输出 MySQL 报错(如 Access denied for user...),等于帮攻击者做信息收集。
- 确保
log_error已启用(默认开启),路径通常为/var/log/mysql/error.log - 禁用客户端显示详细错误:
SET GLOBAL log_warnings = 2;
(MySQL 5.7+ 支持更细粒度警告日志) - 在应用层捕获
mysqli_connect_error()或mysql.connector.Error,统一返回模糊提示,例如“服务暂时不可用”,而非原始 MySQL 错误消息 - 定期轮转日志,防止磁盘占满:
logrotate配合mysqladmin flush-logs
实际部署中,最常被跳过的一步是验证 plugin 类型和 secure_file_priv 状态——它们不会报错,但会让前面所有密码和权限操作形同虚设。
