基于Linux对MySQL数据库的安全加固指南（超实用–实战版）

👨‍🎓博主简介

  🏅云计算领域优质创作者
  🏅华为云开发者社区专家博主
  🏅阿里云开发者社区专家博主
💊交流社区：运维交流社区 欢迎大家的加入！
🐋 希望大家多多支持，我们一起进步！😄
🎉如果文章对你有帮助的话，欢迎 点赞 👍🏻 评论 💬 收藏 ⭐️ 加关注+💗

文章目录

• 前言
• 数据库加固实例
• • 1、修改mysql默认端口
  • 2、安装配置防火墙
  • 3、强化密码
  • 4、开启日志
  • 5、定期备份数据
  • 6、控制访问权限
  • • 开放单用户及ip测试
    • 批量开放用户及ip测试
    • 禁止root用户远程登录
  • 6.1 附加
  • • 删除用户
    • 批量删除用户
    • 修改root密码：（%为远程登陆，localhost为本机登录）
    • 安装mariadb时初始化数据库
    • 开启数据库远程连接
  • 7、监控和警报
• 本文可参考文献
• 相关文章：

前言

MySQL数据库是业务系统中常用的关系型数据库，但是由于其广泛使用，也成为安全攻击的目标。因此，数据库安全加固至关重要。下面将为大家提供一份基于Linux的MySQL数据库安全加固指南，帮助大家保护自己及公司的数据库免受潜在的安全威胁。

常见的MySQL数据库攻击方式包括SQL注入，暴力破解和拒绝服务攻击。以下是一些简单的加固方法：

• 1.修改默认端口：MySQL默认端口为3306，容易被攻击者扫描到，建议修改为其他端口。
• 2.安装防火墙：通过配置防火墙，可以控制数据库的访问权限，并防止恶意请求。
• 3.强化密码：使用强密码并定期更新。避免使用简单的密码，比如123456和qwerty等。强密码包括：（复杂密码应包括大小写字母、数字和特殊字符），可参考此文章随机生成密码：【Linux】Centos7 随机生成密码
• 4.删除无用的账户：删除不必要的账户以减少攻击面。
• 5.开启SSL/TLS连接：开启MySQL的ssl选项，启用加密传输可以提高安全性。
• 6.控制访问权限：控制应用程序对MySQL的操作权限，限制只能读取和操作必要的表、字段和行。
• 7.开启日志：开启MySQL的日志功能，记录所有的查询操作，以便后期审查和追踪攻击来源。
• 8.定期备份数据，并将备份数据存储在安全的位置。备份是防止数据丢失和恢复数据的重要手段。这里推荐一份定时定期备份数据的脚本：mysql数据库定时备份脚本+定时删除 。
• 9.禁用root远程登陆，启用访问控制： 在MySQL配置文件中启用访问控制，只允许特定的IP地址或主机名访问数据库。这样可以防止未授权的访问尝试。
• 10.监控和警报： 设置数据库监控工具和警报系统，及时发现和响应潜在的安全事件和异常活动。

除了以上措施，还有一些其他的技巧可以帮助加强MySQL数据库的安全性。例如，使用双因素身份验证，设置入侵检测系统进行实时监控。

总之，MySQL数据库的安全加固是必要的，可以在攻击者趁虚而入之前有效地减少数据库安全风险。

下面给大家讲解一些实例吧！

数据库加固实例

1、修改mysql默认端口

在配置文件中修改端口，配置文件名为：“my.cnf”在服务器中的/etc/下；

  如果使用的是容器的方式部署的，可以修改一下创建容器时对外开放的端口，具体容器修改端口可参考：docker修改容器的端口、容器名、映射地址…

来看看容器外部署的数据库如何修改；

cat /etc/my.cnf

找到port，注意my.cnf可能会有两个port，一个是[client]下的，一个是[mysqld]下的，修改[mysqld] 下的port即可，client下的也可以修改，主要是[mysqld]下的生效；
修改完重启数据库，有一点如果访问不到，可以先查看端口有没有起来，如果起来了，就检查防火墙，如果没起来，就去看数据库启动报错或日志；

修改完重启一下服务即可生效。

2、安装配置防火墙

使用centos中自带的firewall-cmd来管理防火墙即可；

#开启防火墙
systemctl restart firewalld

#开放数据库的端口
#开放3306端口、加载防火墙配置、查看端口是否开放
firewall-cmd --permanent --add-port=3306/tcp
firewall-cmd --reload
firewall-cmd --list-ports | grep 3306

3、强化密码

可参考此文章随机生成密码：【Linux】Centos7 随机生成密码
这样安全性比较高，如果想要自己设置当然也可以；建议使用强密码并定期更新。避免使用简单的密码，比如123456和qwerty等。强密码包括：（复杂密码应包括大小写字母、数字和特殊字符）。

4、开启日志

开启log-bin日志，可在配置文件中开启；/etc/my.cnf

log-bin=mysql-bin

开启完，重启服务生效；

mariadb日志一般会存储在 /var/lib/mysql 下；
容器的方式部署的mysql，日志数据一般会存在 /var/lib/mysql/data/ 下。

5、定期备份数据

这里推荐一个定期备份的脚本：mysql数据库定时备份脚本+定时删除

建议放在数据库数据存储目录下（对于健忘的人来说比较好找），当然也可以自己找一个隐蔽安全的地方放起来（如果怕忘记，可以计一个笔记），然后设置定时任务，定时全备；

定时备份，需要写周期性计划任务：
#周期性计划任务（每天完备一次）
0 0 */1 * * root /bin/sh 脚本路径/back.sh

脚本可修改的内容：
1、数据库信息：用户名、密码、ip、端口
2、备份的路径及日志文件名
3、脚本保留的天数
4、要备份的库（注意里面的说明，如需备份多个库，可以用到数组，如只备份一个库，可直接使用命令备份即可，总之，注意里面的说明）
5、备份库的文件名和打包备份的文件名 6、日志文件内打印的内容

日志文件的内容展示：
— 创建备份文件: 20230510.sql.tgz
开始:2023年05月10日 16:06:15 结束:2023年05月10日 16:06:20 succ

6、控制访问权限

说明：
username：你将创建的用户名
host：指定该用户在哪个主机上可以登陆，如果是本地用户可用localhost，如果想让该用户可以从任意远程主机登陆，可以使用通配符%
password：该用户的登陆密码，密码可以为空，如果为空则该用户可以不需要密码登陆服务器

• 限制访问数据库ip和用户名

开放的ip：
localhost
172.16.11.11
172.16.11.12
172.16.11.13
172.16.11.14

这时候先不要删除远程登录，可以先在远程连接的第三方工具连接创建普通用户和指定某一个ip，因为linux查看用户列表的时候视觉感不是很好，所以等创建完指定ip和用户名，测试完之后，在关闭远程登陆和root登陆。提示：切记要互相可以ping通，才可以，否则设置了要是连不上问题还要找好久。

• 使用navicat连接到数据库；

#进入mysql库中
use mysql;

#查看当前可以访问到该数据库的用户和权限
select * from user;

可以看到本地和远程都可以连接到该数据库，那么下来我们就给他做限制；

开放单用户及ip测试

#首先创建一个库，（后面要用到这个库）
create database cs;

#创建一个用户
create user cs@'localhost' identified by '123123';
#给该用户设置权限（只给cs这个库的所有权限）
grant all privileges on cs.* to 'cs'@'localhost' identified by '123123';
#其实他两可合并为一条命令，那就是直接执行第二条就行；
#PROCESS权限，可以执行解释执行计划操作的权限（需要额外授予表上的select权限）。
#授权PROCESS权限
grant process on *.* to 'cs'@'localhost';
#刷新权限
flush privileges;

#查看用户权限(只可以用root用户查看)
#该命令可以在linux上执行查看，也可以在其他工具上查看
show grants for 'cs'@'localhost';
#或者（该命令仅限于linux上查看）
select * from mysql.user where user="cs" \G;

• 查看权限

• 然后看mysql/user表，可以看到多了一个cs用户，只可以本地访问数据库，然后测试登陆；

mysql -ucs -p123123

成功登陆，并且有cs这个库的所有权限；
而用第三方登陆，就登陆不上，比如我们用navicat连接测试；
很显然，登陆不上的这是；

批量开放用户及ip测试

#批量创建用户
create user cs@'172.16.11.11',cs@'172.16.11.12',cs@'172.16.11.13',cs@'172.16.11.14' identified by '123123';
#给批量用户设置权限（只给cs这个库的所有权限）
grant all privileges on cs.* to cs@'172.16.11.11',cs@'172.16.11.12',cs@'172.16.11.13',cs@'172.16.11.14' identified by '123123';
#其实他两可合并为一条命令，那就是直接执行第二条就行；
#PROCESS权限，可以执行解释执行计划操作的权限（需要额外授予表上的select权限）。
#授权PROCESS权限
grant process on *.* to cs@'172.16.11.11',cs@'172.16.11.12',cs@'172.16.11.13',cs@'172.16.11.14';
#刷新权限
flush privileges;

#查看用户权限(只可以用root用户查看)
#该命令可以在linux上执行查看，也可以在其他工具上查看（此命令只可每次查一个）
show grants for 'cs'@'172.16.11.11';
#或者（该命令仅限于linux上查看，可以查看所有的cs用户，并输出所有信息）
select * from mysql.user where user="cs" \G;

• 然后看mysql/user表，可以看到多了一个好几个cs用户，但是host不一样，也就是可以访问的ip主机不一样，只有上面显示的这几个访问数据库，然后测试登陆；

也可以使用mysql命令远程登陆测试，如果你在其他服务器上想访问本地服务器的数据库，前提是必须可以ping通要访问某台数据库的ip，可以使用：

mysql -h IP -P端口 -u用户名 -p密码

例如：
mysql -h 172.16.10.10 -P3306 -uroot -p123123

禁止root用户远程登录

禁止root用户远程登录（切记要留一条root使用localhost登陆的，如果没有就不要禁用了，因为禁用了你就真的在哪都使用不了root了，就需要重新安装了）

delete from user where user='root' and host='%';
#刷新权限
flush privileges;

#可以再次查询一下是否存在
select * from mysql.user where user="root" \G;

可以看到只剩一个root@localhost了，那么就成功禁用的root远程登陆；

6.1 附加

删除用户

drop user cs@'172.16.11.11';

批量删除用户

drop user cs@'172.16.11.12',cs@'172.16.11.13';

修改root密码：（%为远程登陆，localhost为本机登录）

alter user 'root'@'localhost' identified by '要修改的密码';
alter user 'root'@'%' identified by '要修改的密码';

#刷新权限
flush privileges;

安装mariadb时初始化数据库

mysql_secure_installation

开启数据库远程连接

grant all privileges  on *.* to root@'%' identified by "123123";

#刷新权限
flush privileges;

7、监控和警报

可以使用zabbix取关键词告警或者是Prometheus + Grafana;
推荐文章：

• zabbix添加自定义监控项&告警（邮件）
• 【Linux】部署Prometheus + Grafana简介、监控及设置告警详细操作（多种方式安装，亲测无问题）

本文可参考文献

相关文章：