ubuntu里sqladmin安全设置有哪些

Ubuntu 上 SQLAdmin 安全设置清单

一 身份与访问控制

• 创建专用的系统管理员账户（如 sqladmin），避免直接使用 root：sudo adduser sqladmin，并按需加入 sudo 组：sudo usermod -aG sudo sqladmin。
• 实施强密码策略：在 /etc/login.defs 中设置 PASS_MIN_DAYS 7、PASS_WARN_AGE 7，强制定期更换。
• 限制 su 使用：在 /etc/login.defs 启用 SU_WHEEL_ONLY，并在 /etc/pam.d/su 中配置仅允许 wheel/sudo 组切换，降低提权风险。
• 如通过 SSH 管理，建议禁用 root 登录、启用密钥登录，并可修改默认端口；同时设置 MaxAuthTries 3-6、ClientAliveInterval 与 ClientAliveCountMax 减少暴力与挂起会话风险。

二 数据库账户与最小权限

• 运行安全初始化：sudo mysql_secure_installation，设置 root 强密码、删除匿名用户、禁止 root 远程登录等。
• 创建受限的管理账户（示例为 MySQL）：
  • 本地管理：CREATE USER 'sqladmin'@'localhost' IDENTIFIED BY 'StrongPass!'; GRANT ALL PRIVILEGES ON *.* TO 'sqladmin'@'localhost' WITH GRANT OPTION; FLUSH PRIVILEGES;
  • 远程管理（不建议使用通配符 %，应限定为管理网段或跳板机 IP）：CREATE USER 'sqladmin'@'203.0.113.10' IDENTIFIED BY 'StrongPass!'; GRANT ALL PRIVILEGES ON *.* TO 'sqladmin'@'203.0.113.10' WITH GRANT OPTION; FLUSH PRIVILEGES;
• 遵循最小权限原则：仅授予必要权限，必要时按库/表/列细化，例如：GRANT SELECT, INSERT, UPDATE, DELETE ON mydb.* TO 'sqladmin'@'localhost';
• 如使用 PostgreSQL：CREATE USER sqladmin WITH PASSWORD 'StrongPass!';（按需授予 SUPERUSER/CREATEDB/CREATEROLE 等），并优先采用基于角色的访问控制。

三 网络安全与防火墙

• 启用 UFW 并仅放行必要端口（如 SSH 22、数据库端口、以及 Web 管理工具端口）：sudo ufw allow 22/tcp，sudo ufw enable；可按需限制来源 IP。
• 将数据库管理工具（如 phpMyAdmin/Adminer 等“SQLAdmin”类 Web 工具）仅绑定 127.0.0.1，通过反向代理或 SSH 隧道访问；如需对外，使用反向代理的认证与 TLS 加密。
• 禁用未使用的网络服务与端口，减少攻击面。

四 系统与数据安全加固

• 系统与补丁：定期执行 sudo apt update && sudo apt upgrade，并可配置 unattended-upgrades 自动安装安全更新。
• 入侵防护：部署 Fail2Ban 自动封禁暴力破解来源，必要时配合 DenyHosts。
• 日志与审计：使用 Logwatch 进行日志汇总告警，启用数据库审计（如 general/slow query log），并用 auditd 记录关键系统调用。
• 文件系统与密钥：设置敏感目录权限与所有权（如数据库数据目录、配置文件），必要时使用 ACL；保护 ~/.ssh/authorized_keys 与私钥；对静态数据启用 LUKS 加密，对传输启用 TLS/SSL。

五 备份与持续监控

• 定期备份与验证：结合 mysqldump 或物理备份，使用 tar/rsync 归档与异地存放，定期做恢复演练与校验。
• 监控与告警：部署 Nagios/Zabbix 等监控平台，对 CPU、内存、磁盘 IO、连接数、复制延迟等进行阈值告警；结合日志分析及时发现异常。
• 安全评估：定期进行漏洞扫描（如 OpenVAS）与安全配置基线核查，持续改进。