MySQL安全初始化需删除匿名用户、为root设强密码并限制登录主机、禁用远程root访问、绑定本地地址,并运行mysql_secure_installation加固。
MySQL 默认安装后可能包含匿名用户(用户名为空)或 root 无密码账户,这会带来严重安全隐患。关闭匿名用户、设置强密码、限制 root 登录范围,是 MySQL 安全初始化的关键步骤。
检查并删除匿名用户
匿名用户指 user 列为空('')的账户,它们可能允许未授权访问。先用 root 登录 MySQL:
mysql -u root -p
执行以下命令查看所有用户:
SELECT user, host FROM mysql.user;
若发现 user 为 '' 的行(如 ''@'localhost'),立即删除:
DROP USER ''@'localhost';DROP USER ''@'127.0.0.1';DROP USER ''@'::1';
注意:MySQL 5.7+ 必须用 DROP USER,不能只删 mysql.user 表记录;执行后需 FLUSH PRIVILEGES; 生效。
为 root 用户设置强密码并限制登录主机
避免 root 可从任意主机('%')无密码登录。推荐仅允许可信地址访问:
- 修改本地 root 密码(MySQL 5.7.6+ 推荐用 ALTER USER):
ALTER USER 'root'@'localhost' IDENTIFIED BY 'YourStrongPass123!'; - 如需远程管理,单独创建受限账户,而非开放
'root'@'%';若必须,用:CREATE USER 'root'@'192.168.1.100' IDENTIFIED BY 'AnotherStrongPass!';
再赋予必要权限,而非直接授权'root'@'%' - 删除不安全的通配符 root 账户(如有):
DROP USER 'root'@'%';
禁用远程 root 登录(默认关闭更安全)
MySQL 默认绑定 127.0.0.1,但配置文件可能被改写为 bind-address = 0.0.0.0,导致监听公网。检查并修正:
- 编辑 MySQL 配置文件(通常为
/etc/mysql/mysql.conf.d/mysqld.cnf或/etc/my.cnf) - 确认
bind-address设置为:bind-address = 127.0.0.1(仅本地)或指定内网 IP - 重启服务:
sudo systemctl restart mysql(Ubuntu/Debian)或sudo systemctl restart mysqld(CentOS/RHEL)
随后用 netstat -tlnp | grep :3306 验证是否只监听本地。
运行 mysql_secure_installation(一键加固)
MySQL 自带脚本可自动完成多数基础加固操作:
- 执行:
sudo mysql_secure_installation - 按提示操作:设置 root 密码、删除匿名用户、禁止 root 远程登录、删除 test 数据库、重载权限表
- 该脚本本质是执行上述 SQL 和配置检查,适合快速初始化,但建议仍手动核对用户列表和 bind-address
不复杂但容易忽略
