MySQL基础的安全设置包括哪些？

MySQL软件所提供的权限(mysql.user、mysql.db、mysql.host)

(1) 系统表mysql.user

user权限表中字段分为四类: 用户字段、权限字段、安全字段和资源控制字段。

用户字段

用户字段.png

权限字段

权限字段.png

安全字段

安全字段.png

# 查看是否支持ssl标准show variables like 'have_openssl'123

资源控制字段

资源控制.png

系统表mysql.user中的所有资源字段的默认值为0，表示没有任何限制。

(2) 系统表mysql.db和mysql.host

在系统数据库mysql中，权限表除了表user外，还有表db和表host，这两张表都存储了某个用户对数据库的权限。

用户字段

mysql.db表

mysql.db表.png

mysql.host表

mysql.host表.png

权限字段

权限字段.png

(3)其他权限表

在系统数据库mysql中，除了上述权限表外，还有表tables_priv和columns_priv，其中标tables_priv用来实现单个表的权限设置，表columns_priv用来实现单个字段列的权限设置。

系统表mysql.tables_priv表结构

mysql.tables_priv表结构.png

mysql.tables_priv表结构.png

系统表mysql.columns_priv的表结构

columns_priv的表结构png

用户机制

(1) 登录和退出MySQL软件的完整命令

# 登录mysql -h 127.0.0.1 -u root -p# 退出(\q)exit|quit12345

(2) 创建普通用户账户

执行CREATE USER语句来创建用户账户

create user 'mazaiting'@'localhost' identified by '123456'12

执行INSERT语句来创建用户

insert into user(host,user,password,ssl_cipher,x509_issuer,x509_subject)values('localhost', 'linghaoyu', password('linghaoyu'),'','','')# 使新建用户生效flush privileges12345

执行GRANT语句来创建用户

grant select on company.t_deptto 'wangxingqin'@'localhost' identified by 'wangxingqin'123

(3) 利用超级权限用户root修改用户账户密码

修改超级权限用户账户密码

# 通过mysqladmin命令修改root用户密码mysqladmin -u root -p password "123456"# 通过SET命令修改密码set password=password("123456")# 更新系统表mysql.user数据记录修改root用户密码update user set password=password("123456")where user="root" and host="localhost"12345678

(4) 利用拥有超级权限用户root修改普通用户账户密码

# 创建用户grant select,create,drop on *.*to 'mazaiting'@'localhost' identified by 'mazaiting'with grant option# 通过grant命令修改用户密码grant select,create,drop on *.*to 'mazaiting'@'localhost' identified by '123456'# 通过set命令修改用户密码set password for 'mazaiting'@'localhost'=password("123456")# 更新系统表mysql.user数据记录修改用户密码update user set password=password("mazaiting")where user='mazaiting' and host='localhost'# 登录当前用户，并使用set命令修改密码set password=password("123456")123456789101112131415

(5) 删除普通用户账户

通过DROP USER语句删除普通用户

drop user 'mazaiting'@'localhost'12

删除系统表mysql.user数据记录实现删除用户账号

# 选择mysql数据库use mysql# 删除用户delete from user where user='mazaiting' and host='localhost'12345

权限管理

(1) 对用户进行授权

# 创建用户grant select,create,drop on *.*to 'mazaiting'@'localhost' identified by 'mazaiting'with grant option# 查询表数据记录select host,user,password,select_priv,update_priv,grant_priv,drop_privfrom mysql.userwhere user='mazaiting' \G12345678910

(2) 查看用户所拥有权限

show grants for 'mazaiting'@'localhost' \G12

(3) 收回用户所拥有权限

# 回收用户的查询权限revoke select on *.* from 'mazaiting'@'localhost'# 回收用户的全部权限revoke all privileges, grant optionfrom 'mazaiting'@'localhost

摘至网页链接

常见Mysql配置文件：linux系统下是my.conf，windows环境下是my.ini；

数据库整体安全需求：机密性、完整性、可用性；

下面以mysql 5.7版本为例，介绍mysql常见的安全策略、配置、加固方式等等，有些策略可能只针对Linux *** 作系统，更多策略可以参考CIS Mysql Benchmark相关文档：

1、 *** 作系统级别安全配置

1.1不要将数据库放在系统分区

Windows系统：直接检查是否将数据库放置在C盘。

Linux系统：

在终端连接上mysql数据库，执行如下命令：

show variables where variable_name = 'datadir'

然后返回shell命令行：

df -h <datadir>

其中datadir是上一条命令的返回值。

上述命令的返回值不应是/、/var、/usr

1.2使用专用的最小权限账号运行mysql数据库进程

Windows系统：直接打开任务管理器，查看运行mysql进程的 *** 作系统账号，不能为administrator账号。

Linux系统：

Shell命令行运行如下命令：

ps -ef | grep mysql

查看mysql服务的运行账号是否为root或其他高权限账号，如果是的，则需要创建一个非管理员专用账号来运行mysql服务。

1.3禁止使用mysql命令行历史记录

Linux系统：

执行如下命令：

find / -name ".mysql_history"

查看是否存在mysql的历史命令记录文件，如果存在，则需要进行如下加固：

（1）删除.mysql_history文件；

（2）设置环境变量MYSQL_HISTFILE为/dev/null，并添加到shell的初始化脚本中，创建mysql_history到/dev/null的链接：

ln -s /dev/null $HOME/.mysql_history

1.4 确保MYSQL_PWD环境变量未设置敏感信息

Windows系统下进入cmd命令行，使用如下命令：

Set

查看是否设置了环境变量MYSQL_PWD。

Linux系统下使用如下命令：

grep MYSQL_PWD /proc/*/environ

查看MYSQL_PWD环境变量是否设置了敏感信息。

确认那个配置文件或脚本设置了MYSQL_PWD环境变量。

2、安装

2.1使用数据库专用服务器

使用专用的服务器安装mysql服务可以减少mysql服务的攻击面，尽量卸载或删除 *** 作系统上的不必要的应用或服务，减少其他应用的安装可能给mysql的运行带来的安全风险。

2.2 不要复用数据库账号

运行mysql服务的 *** 作系统账号不要用来运行其他应用或服务，这样可以避免其他应用或服务器被攻击给mysql服务带来影响。

2.3 历史命令行密码设置为不可见

使用如下命令：

mysql -u admin -p password

连接mysql数据库服务，退出后查看历史命令，确认password是否为明文。

建议使用如下命令方式登录：

（1）先输入mysql -u admin -p

（2）根据命令行提示输入密码；

而不要在一整条命令中输入密码。

另外要控制mysql配置文件访问权限。

3、文件权限控制

3.1 控制数据目录的访问权限

数据目录是mysql数据库存放的位置，在mysql命令行界面下执行如下命令：

show variables where variable_name = 'datadir'

在终端命令行下执行如下命令：

ls -l <datadir>/.. | egrep "^d[r|w|x]{3}------\s*.\s*mysql\s*mysql\s*\d*.*mysql"

其中<datadir>是第一条命令的执行结果

如果存在问题，linux环境下在终端执行如下命令进行加固：

chmod 700 <datadir>

chown mysql:mysql <datadir>

3.2 控制二进制日志文件的权限

mysql的运行会产生很多日志，例如二进制日志、错误日志、慢查询日志等等，Mysql命令行下执行如下命令：

show variables like 'log_bin_basename'

在终端命令行执行如下命令：

ls <log_bin_basename>.*

对于发现的每一个文件，执行如下命令：

ls -l <log_bin_basename.nnnnn>| egrep "^-[r|w]{2}-[r|w]{2}----\s*.*$"

根据输出确认日志文件的权限设置是否存在问题。

对于每个日志文件，修改其权限和属组如下：

chmod 660 <log file>

chown mysql:mysql <log file>

3.3 控制错误日志文件的权限

Mysql命令行下执行如下命令：

show variables like 'log_error'

在终端命令行执行如下命令：

ls <log_error>.*

对于发现的每一个文件，执行如下命令：

ls -l <log_error>| egrep "^-[r|w]{2}-[r|w]{2}----\s*.*$"

根据输出确认日志文件的权限设置是否存在问题。

对于每个日志文件，修改其权限和属组如下：

chmod 660 <log file>

chown mysql:mysql <log file>

3.4控制慢查询日志文件的权限

Mysql命令行下执行如下命令：

show variables like 'slow_query_log_file'

在终端命令行执行如下命令：

ls <slow_query_log_file>.*

对于发现的每一个文件，执行如下命令：

ls -l <slow_query_log_file>| egrep "^-[r|w]{2}-[r|w]{2}----\s*.*$"

根据输出确认日志文件的权限设置是否存在问题。

对于每个日志文件，修改其权限和属组如下：

chmod 660 <log file>

chown mysql:mysql <log file>

3.5控制通用日志文件的权限

Mysql命令行下执行如下命令：

show variables like 'general_log_file'

在终端命令行执行如下命令：

ls <general_log_file>.*

对于发现的每一个文件，执行如下命令：

ls -l <general_log_file>| egrep "^-[r|w]{2}-[r|w]{2}----\s*.*$"

根据输出确认日志文件的权限设置是否存在问题。

对于每个日志文件，修改其权限和属组如下：

chmod 660 <log file>

chown mysql:mysql <log file>

3.6控制审计日志文件的权限

Mysql命令行下执行如下命令：

show global variables where variable_name =  'audit_log_file'

在终端执行如下命令：

ls -l <audit_log_file>| egrep "^-rw[-x]rw[-x][-r][-w][-x][ \t]*[0-9][ \t]*mysql[

\t]*mysql.*$"

根据输出确认日志文件的权限设置是否存在问题。

对于每个日志文件，修改其权限和属组如下：

chmod 660 <audit_log_file>

chown mysql:mysql <audit_log_file>

4、通用安全

4.1安装最新的补丁

在mysql命令行下查询MySQL的版本：

SHOW VARIABLES WHERE Variable_name LIKE "version"

确认是否由需要安装的补丁包，如果有请安装。

4.2 删除test数据库

Mysql数据库默认安装好后，存在一个名为test的数据库，如果存在，请执行如下命令删除：

Drop database “test”

4.3 确保读取本地文件的参数设置为失效

Mysql命令行下，使用如下命令：

SHOW VARIABLES WHERE Variable_name = 'local_infile'

查看结果是否为OFF。

如果该命令为ON，则数据库用户可以通过LOAD DATA INFILE 或者 SELECT local_file 读取到数据库所在 *** 作系统本地的文件，在这种情况下，需要在mysql配置文件中新增一行：

Local-infile=0；

然后重启数据库服务。

5、权限配置

5.1控制可以访问所有数据库的账号

Mysql数据库下的user表和db表中存放着可以授予数据库用户的权限，确保只有管理员账号才能访问所有数据库。可以访问mysql数据库的用户或许可以查看密码哈希值、修改用户权限等等。

使用如下sql语句：

SELECT user, host FROM mysql.user

WHERE (Select_priv = 'Y') OR (Insert_priv = 'Y') OR (Update_priv = 'Y')

OR (Delete_priv = 'Y')  OR (Create_priv = 'Y')  OR (Drop_priv = 'Y')

SELECT user, host FROM mysql.db WHERE db = 'mysql'

AND ((Select_priv = 'Y') OR (Insert_priv = 'Y') OR (Update_priv = 'Y')

OR (Delete_priv = 'Y') OR (Create_priv = 'Y') OR (Drop_priv = 'Y'))

确保返回结果只能是数据库管理员账号。

5.2限制非管理员用户的权限

Mysql.user表中的权限列有：

file_priv：表示是否允许用户读取数据库所在主机的本地文件；

Process：表示是否允许用户查询所有用户的命令执行信息；

Super_priv：表示用户是否有设置全局变量、管理员调试等高级别权限；

Shutdown_priv：表示用户是否可以关闭数据库；

Create_user_priv：表示用户是否可以创建或删除其他用户；

Grant_priv：表示用户是否可以修改其他用户的权限；

应确保只有数据库管理员才有上述权限，使用如下sql语句查看拥有各个权限的数据库账号：

select user, host from mysql.user where File_priv = 'Y'

select user, host from mysql.user where Process_priv = 'Y'

select user, host from mysql.user where Process_priv = 'Y'

SELECT user, host FROM mysql.user WHERE Shutdown_priv = 'Y'

SELECT user, host FROM mysql.user WHERE Create_user_priv = 'Y'

SELECT user, host FROM mysql.user WHERE Grant_priv = 'Y'

SELECT user, host FROM mysql.db WHERE Grant_priv = 'Y'

确保查询结果中不存在非管理员用户。

如果存在非管理员用户，使用如下命令进行权限回收：

REVOKE FILE ON *.* FROM '<user>'

REVOKE PROCESS ON *.* FROM '<user>'

REVOKE SUPER ON *.* FROM '<user>'

REVOKE SHUTDOWN ON *.* FROM '<user>'

REVOKE CREATE USER ON *.* FROM '<user>'

REVOKE GRANT OPTION ON *.* FROM <user>

其中user为上述查询到的非管理员用户。

5.3合理控制DML/DDL *** 作授权

DML/DDL语句包括创建或修改数据库结构的权限，例如insert、update、delete、create、drop和alter语句，在任何数据库中都要控制用户的此类权限，确保只授权给有业务需求的非管理员用户。Mysql命令行下执行如下命令：

SELECT User,Host,Db FROM mysql.db WHERE Select_priv='Y'

OR Insert_priv='Y' OR Update_priv='Y' OR Delete_priv='Y' OR Create_priv='Y'

OR Drop_priv='Y' OR Alter_priv='Y'

上述查询到的用户只能对特地的数据库才有相关的权限，使用如下命令进行相关权限的回收：

REVOKE SELECT ON <host>.<database>FROM <user>

REVOKE INSERT ON <host>.<database>FROM <user>

REVOKE UPDATE ON <host>.<database>FROM <user>

REVOKE DELETE ON <host>.<database>FROM <user>

REVOKE CREATE ON <host>.<database>FROM <user>

REVOKE DROP ON <host>.<database>FROM <user>

REVOKE ALTER ON <host>.<database>FROM <user>

其中<user>为查询到的未授权的用户，host为相关主机，database为相关数据库。

6、审计和日志

6.1开启错误日志审计功能

错误日志包括数据库运行和停止过程中的一系列活动信息，有助于分析数据库运行过程中的一些异常活动，一般情况下需要开启错误日志记录功能，使用如下命令查询：

SHOW variables LIKE 'log_error'

确保返回结果为非空，如果为空，需要在mysql数据库配置文件中增加相关配置。

6.2确保日志存放在非系统区域

日志文件随着数据库的运行会不断增加，如果存放在系统区域，则会影响系统的正常运行，使用如下命令进行查询：

SELECT @@global.log_bin_basename

确保返回结果不是如下路径：/、/var、/usr

6.3关闭原始日志功能

原始日志选项会决定一些敏感信息是否会被明文写进日志中，例如查询日志、慢查询日志、二进制日志，确保数据库配置文件中存在如下配置项：

Log-raw = OFF

7、认证

7.1 Old_passwords环境变量设置

Old_passwords决定了使用PASSWORD()函数和IDENTIFIED BY 、CREATE USER 、GRANT 等语句是时的hash算法：

0 - authenticate with the mysql_native_password plugin

1 - authenticate with the mysql_old_password plugin

2 - authenticate with the sha256_password plugin

设置为mysql_old_password代表弱hash算法，可以快速通过密码字典进行暴力破解。使用如下命令查询相关值：

SHOW VARIABLES WHERE Variable_name = 'old_passwords'

确保返回值不为1。

7.2 secure_auth 选项设置

如果客户端采用Old_passwords发起连接请求，如果服务器端设置了secure_auth，则客户端会拒绝连接请求，可以根据安全需求在配置文件中做相应配置。

7.3 密码保存

确保密码没有明文保存在全局配置文件中。

7.4 确保所有用户都要求使用非空密码登录

执行如下语句查询是否有用户不需要密码即可登录：

SELECT User,host

FROM mysql.user

WHERE (plugin IN('mysql_native_password', 'mysql_old_password')

AND (LENGTH(Password) = 0

OR Password IS NULL))

OR (plugin='sha256_password' AND LENGTH(authentication_string) = 0)

7.5不存在空账号

使用如下命令查询是否存在空账号：

SELECT user,host FROM mysql.user WHERE user = ''

8、网络设置

如果mysql数据库服务器与应用是跨信任域部署的，则需要考虑在数据库服务器与应用服务器之间建立ssl通道进行数据传输，不过这种场景一般很少见，在此不详细描述。

9、数据库备份

在使用通达OA 系统时很多用户需要借助Mysql 网页式管理工具进入后台数据库去查看数据，进行一些相应的 *** 作。但是大多数时候用户安装完该工具后都是下面简单介绍几种方法。方法一：设置以用户名和密码的方式登录数据库。具体设置方法如下：1、安装完mysql 数据库管理工具后，在OA 安装目录\webroot\mysql 下找到配置文件config.inc.php，并用记事本打开。2、找到该行$cfg['Servers'][$i]['auth_type'] = 'config' // Authenticationmethod (valid choices: config, http, HTTP, signon or cookie)，将其修改为$cfg['Servers'][$i]['auth_type'] = 'http' // Authentication method (valid choices:config, http, HTTP, signon or cookie)并保存。3、进行修改后，当登录后台数据库时首先会d出下列该窗口，要求输入用户名和密码，否则将不能登录。很显然，这种方式登录比直接登录更安全些。说明：默认用户名为root，密码为myoa888。2采用用户名和密码的方式登录数据库虽然安全性增强了不少，但是用数据库默改mysql 数据库的密码。这也就是接下来要介绍的第二种方法。方法二：修改mysql 数据库的密码，以使更加安全访问数据库。修改密码的 *** 作方法这里不再详作介绍，具体参考该文档：通达网站/OA 知识库/!全新推出-通达OA据库密码.doc特别说明：1、安装mysql 网页式数据库管理工具时，目录名默认是mysql，为了防止用户利用该工具侵入数据库系统，可把目录名设为比较复杂的，如mysql23@43，避免目录名被猜测到。2、该管理工具的使用需具有一定数据库基础，请勿进行危险 *** 作，若需要对数据库进行 *** 作的，请注意一定要在 *** 作前做好数据库的备份，以免导致数据丢失。

---