MariaDB在Linux上的安全性概览 MariaDB在Linux上的安全性取决于安装后的配置与运维方式。默认安装完成后存在较多风险点(如匿名账户、可远程的root、测试库等),需要立即加固;通过系统化的安全配置与持续运维,可以达到较高的安全水平,满足企业合规与审计要求。
常见风险与加固要点
快速加固清单
| 操作 | 关键配置 | 验证要点 |
|---|---|---|
| 安全初始化 | 执行mysql_secure_installation | 无匿名用户、无test库、root不可远程 |
| 绑定地址 | [mysqld] 设置bind-address=127.0.0.1(或白名单) | 远程netstat不应监听3306;仅内网来源可连 |
| 禁用local_infile | [mysqld] local-infile=0 | show variables like ‘local_infile’; 返回值为OFF |
| 限制导入路径 | [mysqld] secure_file_priv=/var/lib/mysql-files | 仅该目录可load_file;其他路径失败 |
| 数据目录权限 | chmod 700 /var/lib/mysql | ls -ld /var/lib/mysql 权限为drwx------ |
| 防火墙 | UFW/iptables仅放行必要IP:3306 | 外部扫描3306应被拒绝 |
| 密码策略 | 安装并启用simple_password_check | 弱口令创建被拒绝 |
| 登录保护 | set global max_connect_errors=5; wait_timeout=600 | 错误过多自动阻断;会话超时退出 |
| 审计与日志 | 开启错误/查询日志;auditd监控配置文件与mysql库 | /var/log/下日志增长;aureport有记录 |
| 补丁更新 | yum/apt update mariadb-server | 版本号更新、无安全告警 |
以上条目对应命令与参数示例可参考下列实践文档与配置片段。
合规与审计建议