mysql数据库 安全检测需聚焦四类风险:过度授权、弱密码、匿名用户和未限制远程访问;应检查并删除匿名用户及 root@% 等高危账户,最小化权限分配,禁用 WITH GRANT OPTION,验证密码强度与认证插件,限制 bind-address 并配合 防火墙 控制访问。
Mysql 权限 配置不当是数据库被入侵的常见入口,检测风险的核心在于识别“过度授权”“弱密码”“匿名用户”和“未限制的远程访问”这四类问题。
检查高危账户与匿名用户
MySQL 默认可能创建匿名用户(用户名为空)或 root@% 这类无主机限制的超级账户,极易被利用。执行以下命令查看:
- select user, host, authentication_string FROM mysql.user; —— 重点关注 user 为空、host 为 ’%’、或 host 为通配符的记录
- SELECT user, host FROM mysql.user WHERE user = ” OR host = ‘%’; —— 快速定位隐患账户
发现后应立即删除:DROP USER ”@’localhost’; 或 DROP USER ‘root’@’%’;(确保保留至少一个本地强认证的 root 账户,如 ‘root’@’127.0.0.1’)。
审计用户权限分配是否最小化
使用 SHOW GRANTS 逐个检查关键账户的实际权限,避免直接依赖 SELECT * FROM mysql.db 等底层表——它们不反映全局权限合并结果。
- 对业务账号,执行 SHOW GRANTS for ‘app_user’@’192.168.1.%’;,确认仅授予必需库表的 SELECT/INSERT 等具体权限,禁止出现 GRANT ALL PRIVILEGES 或ON *.*
- 特别警惕WITH GRANT OPTION——它允许该用户再授权,应严格禁用,除非明确需要权限委派
- 若发现账号拥有 FILE、PROCESS、SUPER 等高危权限,需评估必要性并及时回收
验证密码强度与认证方式
MySQL 5.7+ 默认启用 validate_password 插件,但常被关闭或配置宽松。检查方法:
- SHOW VARIABLES LIKE ‘validate_password%’; —— 查看 policy、Length、mixed_case_count 等参数是否启用且达标(如 length ≥ 12)
- SELECT user, host, plugin FROM mysql.user WHERE plugin NOT IN (‘caching_sha2_password’, ‘mysql_native_password’); —— 排查过时或不安全的认证插件
- 对空密码或弱密码账号(如 ’123456’、’password’),立即重置:ALTER USER ‘test’@’%’ IDENTIFIED BY ‘StrongPass!2024’;
确认网络访问控制是否合理
MySQL 默认监听所有 接口 (bind-address = 0.0.0.0),若无 防火墙 配合,等于暴露在公网。
- 检查 配置文件(my.cnf/my.ini)中的bind-address:生产环境应设为127.0.0.1(仅本地)或内网 IP,禁用 0.0.0.0
- 结合系统防火墙(如 iptables/firewalld)限制 3306端口 仅允许可信 IP 访问:iptables -A input -p tcp –dport 3306 -s 10.0.1.0/24 -j ACCEPT
- 用 netstat -tlnp | grep :3306 确认监听地址是否符合预期
不复杂但容易忽略:定期导出权限快照(如用 mysqldump –no-data –routines –triggers mysql > mysql_schema.sql)对比变更,能快速发现异常授权操作。
