限制用户对
mysql系统数据库的访问,核心是避免普通用户拥有修改权限表、用户表或影响服务安全的能力。MySQL 的
mysql库存储了用户、权限、角色等关键元数据,直接读写可能导致越权或服务异常。
明确禁止普通用户访问 mysql 库
默认情况下,MySQL 5.7+ 新建用户(如用
CREATE USER)不会自动获得任何权限,包括对
mysql库的访问权。但若误执行了类似
GRANT ALL ON *.*或
GRANT SELECT ON mysql.*,就可能开放危险权限。 检查当前用户权限:运行
SHOW GRANTS FOR 'username'@'host';若发现含
ON mysql.*的授权语句,立即撤销:
REVOKE ALL PRIVILEGES ON mysql.* FROM 'username'@'host';确认撤销后执行
FLUSH PRIVILEGES;
只授予业务所需最小权限
为应用用户分配权限时,严格遵循最小权限原则——只给它操作自己库表的权限,不跨库、不碰系统库。
例如应用只需查改app_db中的
orders表:
GRANT SELECT, INSERT, UPDATE ON app_db.orders TO 'app_user'@'%';避免使用
GRANT ... ON *.*或
GRANT ... ON mysql.*生产环境禁用
SUPER、
REPLICATION CLIENT、
PROCESS等高危权限,除非明确需要
禁用 root 远程登录,隔离管理账户
root 用户默认可访问所有库(含
mysql),必须限制其使用场景。 删除远程 root 账户:
DROP USER 'root'@'%';仅保留本地管理账户:
CREATE USER 'admin'@'localhost' IDENTIFIED BY 'strong_pass';
GRANT SELECT, INSERT, UPDATE, DELETE ON mysql.user TO 'admin'@'localhost';(按需授权,不给 ALL) 日常运维通过跳板机或 SSH 登录数据库服务器后本地操作
启用 SQL 模式与审计辅助管控
单纯靠权限控制不够,配合运行时约束更稳妥。
启动时设置--sql-mode=STRICT_TRANS_TABLES,NO_AUTO_CREATE_USER,防止隐式创建用户或宽泛授权 开启通用查询日志或使用 MySQL Enterprise Audit(或 Percona Audit Plugin)记录对
mysql库的 DML 操作,便于追溯异常行为 定期用脚本检查:
SELECT user, host FROM mysql.user WHERE user != 'root' AND (Select_priv = 'Y' OR Update_priv = 'Y') AND (user NOT IN ('backup', 'monitor'));
权限控制不是一次性配置,而是持续验证的过程。每次新增用户、调整权限后都应复查,确保
mysql库始终只有可信管理员可写。
