查得到才算真存在:先确认匿名用户是否实际存活
很多人一上来就删,结果发现
SELECT User,Host FROM mysql.user;里压根没空用户名——那删个寂寞。匿名用户的本质是
User = ''(空字符串),不是
NULL,也不是
'anonymous'。MySQL 5.7+ 默认初始化时可能留一个
''@'localhost',但 MySQL 8.0+ 安装脚本已默认跳过这步;如果你是离线安装或从旧版本升级而来,才更可能遇到。 执行
SELECT Host, User FROM mysql.user WHERE User = '';—— 只查空字符串,不查
IS NULL,避免误判 如果返回空结果,说明没有匿名用户,后续删除操作可跳过 注意:有些运维脚本会把
''@'127.0.0.1'和
''@'localhost'当成两个,其实它们都算匿名,都要删
删掉它,但别只删一半:DELETE + FLUSH 缺一不可
只执行
DELETE FROM mysql.user WHERE User = '';是无效的——MySQL 不会自动重载权限缓存。你立刻再用
mysql -u '' -h localhost尝试连接,大概率还能进(尤其在未重启服务的情况下)。 必须紧跟着执行
FLUSH PRIVILEGES;,强制 MySQL 重新读取
mysql.user表 不要用
DROP USER ''@'localhost':该语法在 MySQL 5.7 中不支持空用户名,会报错
ERROR 1396 (HY000): Operation DROP USER failed删除后建议立即验证:再次运行
SELECT User,Host FROM mysql.user WHERE User = '';,确保返回空集
root 密码为空?匿名用户可能只是“替罪羊”
很多所谓“匿名登录成功”,其实是 root 用户密码为空导致的:当你执行
mysql -u root不输密码就进了,误以为是匿名用户在作祟。这种情况比真正匿名用户更常见,也更危险。 检查 root 是否无密码:
SELECT User,Host,authentication_string FROM mysql.user WHERE User = 'root';,若
authentication_string为空或为
*(MySQL 5.7),说明密码未设 设密码(MySQL 5.7):
ALTER USER 'root'@'localhost' IDENTIFIED BY 'YourStrongPass123!';设密码(MySQL 8.0+):
ALTER USER 'root'@'localhost' IDENTIFIED WITH caching_sha2_password BY 'YourStrongPass123!';设完务必再执行
FLUSH PRIVILEGES;,否则新密码不生效
离线安装后最容易漏的三件事
离线部署常跳过初始化安全脚本(如
mysql_secure_installation),导致一堆隐患埋着不动,直到被扫描器打中。 test 数据库没删:执行
DROP DATABASE IF EXISTS test;,并删掉对应权限记录:
DELETE FROM mysql.db WHERE Db = 'test' OR Db = 'test\_%';host 限制太宽:检查
root是否只允许
'localhost',而非
'%';若不需要远程管理,直接删掉所有非
localhost的 root 记录 没关 skip-grant-tables:检查配置文件
/etc/my.cnf或
/etc/mysql/my.cnf里有没有残留的
[mysqld]下的
skip-grant-tables——有它等于完全放弃权限校验 真正禁用匿名用户,不是执行一条 DELETE 就完事;它是权限加固链条上最基础、却最容易被绕过的环节。只要
FLUSH PRIVILEGES没跑,或者 root 还裸奔,删了匿名用户也白删。
