怎么提高MySQL安全性

2025-03-08 技术教程

本篇文章为大家展示了怎么提高MySQL安全性，内容简明扼要并且容易理解，绝对能使你眼前一亮，通过这篇文章的详细介绍希望你能有所收获。

导读

如何提高MySQL的安全性？

数据库的安全性无疑很重要，这里教大家几招简单方法提高安全性。

1. 正确设置 datadir 权限模式

关于 datadir 正确的权限模式是 0750，甚至是 0700。

也就是最多只允许 mysqld 进程属主用户及其所在用户组可访问，但只有属主可修改文件。

***是直接设置成 0700，相对更安全些，避免数据文件意外泄漏。

[yejr@imysql.com]#chown-Rmysql.mysql/data/mysql57[yejr@imysql.com]#chmod0700/data/mysql57[yejr@imysql.com]#ls-la/data/drwxr-x---.8mysqlmysql4096Feb1408:08mysql57

2. 将 mysql socket 文件放在 datadir 下

很多人习惯将 mysql socket文件放在 /tmp 目录下。

尤其是跑多实例时，/tmp 目录下可能有 mysql3306.sock、mysql3307.sock、mysql3308.sock 等多个这样的文件。

要注意，mysql.sock 文件默认的权限模式是 0777，也就是任何人都有机会通过 /tmp 目录下的 socket 文件直接登入 mysql，尤其是root密码为空或弱密码，并且还允许本地 socket 方式登入时，是个比较危险的安全隐患。

因此，我们强烈建议把 mysql socket 文件放置在每个实例自己的 datadir 下，并且参考***条建议，设置正确的权限模式。同时甚至也可以把 mysql.sock 文件权限模式修改为 0700。

[yejr@imysql.com]#chmod0700/data/mysql57/mysql.sock[yejr@imysql.com]#ls-la/data/mysql57/mysql.socksrwx------.1mysqlmysql0Feb1216:00/data/mysql57/mysql.sock

3. 使用login-path

一般来说，我们会为每个mysql账户设置密码，这样是安全了，但使用和维护起来就不方便了。

每次登入都要输入密码，尤其是调用mysql client工具时，如果直接将密码写在client工具的选项里，则是非常危险的行为，从历史命令就能看到密码了，并且会有类似下面的提示：

mysql:[Warning]Usingapasswordonthecommandlineinterfacecanbeinsecure.

这时候，我们其实可以利用 login-path 功能来提高安全性及便利性。

首先，利用 mysql_config_editor 配置login-path：

#选项”-Glp-mysql57-3306”设定login-path的别名mysql_config_editorset-Glp-mysql57-3306-S/data/mysql57/mysql.sock-uroot-p

设置完后，就会在该用户的 $HOME目录下生成 .mylogin.cnf 文件：

[yejr@imysql.com]#ls-la~/.mylogin.cnf-rw-------.1yejrusers152Feb1122:42/home/yejr/.mylogin.cnf[yejr@imysql.com]#file~/.mylogin.cnf/home/yejr/.mylogin.cnf:data

这是个加密的二进制文件，即便用明文方式查看，也是无法显示密码的：

[yejr@imysql.com]#mysql_config_editorprint--allmysql_config_editorprint--all[lp-mysql57-13306]user=rootpassword=*****socket=/data/mysql57/mysql.sock

接下来可以利用 login-path 很方便的登入 mysqld 而无需额外的密码：

[yejr@imysql.com]#mysql--login-path=lp-mysql57-13306-e"select1+1fromdual"+-----+|1+1|+-----+|2|+-----+[yejr@imysql.com]#mysqladmin--login-path=lp-mysql57-13306pr+----+------+-----------+----+---------+------+----------+------------------+|Id|User|Host|db|Command|Time|State|Info|+----+------+-----------+----+---------+------+----------+------------------+|3|root|localhost||Query|0|starting|showprocesslist|+----+------+-----------+----+---------+------+----------+------------------+

在做好前面两条安全规则的前提下，即便万一某个高权限等级用户的 .mylogin.cnf 文件被其他普通用户盗取，也无法利用 socket 方式登入 mysql。

当然了，除非你之前在 login-path 里设置的是走 tcp/ip 方式，那就悲剧了～

下面是假设 yejr 普通账号想利用 root 账号的 .mylogin.cnf 文件登入，报告失败，因为无法访问 /data/mysql57/mysql.sock 文件：

[yejr@imysql~]$/usr/local/mysql57/bin/mysql--login-path=lp-mysql57-13306ERROR2002(HY000):Can'tconnecttolocalMySQLserverthroughsocket'/data/mysql57/mysql.sock'

上述内容就是怎么提高MySQL安全性，你们学到知识或技能了吗？如果还想学到更多技能或者丰富自己的知识储备，欢迎关注亿速云行业资讯频道。