修改 my.cnf
禁用远程 root 登录
MySQL 默认允许
root@localhost本地登录,但若初始化时未显式限制,或配置了通配符主机(如
root@'%'),会极大增加被暴力破解或横向渗透的风险。安装后第一件事不是改密码,而是确认并清除非必要远程访问权限。 先用
mysql -u root -p登录,执行:
SELECT user, host FROM mysql.user WHERE user = 'root';若结果中含
root@'%'或
root@'192.168.%'等非
localhost条目,立即删除:
DROP USER 'root'@'%';确保只保留
root@localhost,且该账户仅用于本地维护,不用于应用连接
设置 skip-networking
或绑定到本地地址
如果 MySQL 仅服务于本机应用(如 PHP-FPM、Python Flask 启动在同台机器),应彻底关闭 TCP 监听,避免端口暴露。否则至少将监听范围严格限定在内网或 localhost。
编辑/etc/my.cnf(Linux)或
my.ini(Windows),在
[mysqld]段下添加:
bind-address = 127.0.0.1更彻底的方式是禁用网络协议栈:
skip-networking(此时只能通过 socket 连接,
mysql -S /var/run/mysqld/mysqld.sock) 注意:
skip-networking与
bind-address不能共存;启用前者后,
port和
bind-address将被忽略
禁用危险函数和插件防止提权
某些内置函数(如
sys_exec、
load_file)或插件(如
plugin_auth_socket在非必要时)可能被利用绕过认证或执行系统命令,尤其在低版本 MySQL 中风险更高。 检查已加载插件:
SHOW PLUGINS;禁用非必需插件,例如移除文件系统读写能力:
UNINSTALL PLUGIN auth_socket;(仅当不用 socket 认证时) 在
[mysqld]中加入:
secure-file-priv = /var/lib/mysql-files(限制
LOAD DATA INFILE和
SELECT ... INTO OUTFILE的路径,设为
NULL则完全禁用) 避免使用
CREATE FUNCTION注册自定义 UDF,除非明确需要且已审计代码
启用强制密码策略和日志审计
默认 MySQL 对密码强度无约束,且错误登录不记录源 IP,这会让安全事件溯源变得困难。必须手动开启基础防护层。
加载密码验证组件(MySQL 5.7+):INSTALL PLUGIN validate_password SONAME 'validate_password.so';设置最低要求(示例):
SET GLOBAL validate_password.length = 12;<br>SET GLOBAL validate_password.policy = MEDIUM;开启通用查询日志不推荐(性能损耗大),但错误日志必须包含客户端地址:
log-error-verbosity = 3(MySQL 8.0.14+),并确保
log_error指向可写且受控目录 定期轮转日志:
mysqladmin flush-logs,配合 logrotate 防止填满磁盘 实际部署中,最常被忽略的是
secure-file-priv的默认值——很多发行版包(如 Ubuntu 的
mysql-server)将其设为空字符串,等价于开放任意路径读写。这个配置项一旦遗漏,
LOAD DATA INFILE就可能成为 RCE 入口。
