MySQL数据库安全检测需聚焦四类风险:过度授权、弱密码、匿名用户和未限制远程访问;应检查并删除匿名用户及root@%等高危账户,最小化权限分配,禁用WITH GRANT OPTION,验证密码强度与认证插件,限制bind-address并配合防火墙控制访问。
MySQL权限配置不当是数据库被入侵的常见入口,检测风险的核心在于识别“过度授权”“弱密码”“匿名用户”和“未限制的远程访问”这四类问题。
检查高危账户与匿名用户
MySQL默认可能创建匿名用户(用户名为空)或root@%这类无主机限制的超级账户,极易被利用。执行以下命令查看:
- SELECT user, host, authentication_string FROM mysql.user; —— 重点关注user为空、host为'%'、或host为通配符的记录
- SELECT user, host FROM mysql.user WHERE user = '' OR host = '%'; —— 快速定位隐患账户
发现后应立即删除:DROP USER ''@'localhost'; 或 DROP USER 'root'@'%';(确保保留至少一个本地强认证的root账户,如 'root'@'127.0.0.1')。
审计用户权限分配是否最小化
使用SHOW GRANTS逐个检查关键账户的实际权限,避免直接依赖SELECT * FROM mysql.db等底层表——它们不反映全局权限合并结果。
- 对业务账号,执行 SHOW GRANTS FOR 'app_user'@'192.168.1.%';,确认仅授予必需库表的SELECT/INSERT等具体权限,禁止出现GRANT ALL PRIVILEGES或ON *.*
- 特别警惕WITH GRANT OPTION——它允许该用户再授权,应严格禁用,除非明确需要权限委派
- 若发现账号拥有FILE、PROCESS、SUPER等高危权限,需评估必要性并及时回收
验证密码强度与认证方式
MySQL 5.7+ 默认启用validate_password插件,但常被关闭或配置宽松。检查方法:
- SHOW VARIABLES LIKE 'validate_password%'; —— 查看policy、length、mixed_case_count等参数是否启用且达标(如length ≥ 12)
- SELECT user, host, plugin FROM mysql.user WHERE plugin NOT IN ('caching_sha2_password', 'mysql_native_password'); —— 排查过时或不安全的认证插件
- 对空密码或弱密码账号(如'123456'、'password'),立即重置:ALTER USER 'test'@'%' IDENTIFIED BY 'StrongPass!2024';
确认网络访问控制是否合理
MySQL默认监听所有接口(bind-address = 0.0.0.0),若无防火墙配合,等于暴露在公网。
- 检查配置文件(my.cnf/my.ini)中的bind-address:生产环境应设为127.0.0.1(仅本地)或内网IP,禁用0.0.0.0
- 结合系统防火墙(如iptables/firewalld)限制3306端口仅允许可信IP访问:iptables -A INPUT -p tcp --dport 3306 -s 10.0.1.0/24 -j ACCEPT
- 用netstat -tlnp | grep :3306确认监听地址是否符合预期
不复杂但容易忽略:定期导出权限快照(如用mysqldump --no-data --routines --triggers mysql > mysql_schema.sql)对比变更,能快速发现异常授权操作。
