配置iptables以提升MySQL的安全性主要包括限制不必要的网络访问、启用防火墙规则以及限制特定IP地址的访问。以下是一些关键步骤和规则示例:
首先,禁用MySQL监听的IPv6地址和所有非必需的服务端口,以减少潜在的攻击面。
# 禁用IPv6
echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
echo 2 > /proc/sys/net/ipv6/conf/default/disable_ipv6
echo 1 > /proc/sys/net/ipv6/conf/lo/disable_ipv6
# 禁用非必需的服务端口
iptables -A INPUT -p tcp --dport 3306 -j REJECT --reject-with icmp-host-prohibited
iptables -A INPUT -p tcp --dport 1521 -j REJECT --reject-with icmp-host-prohibited
iptables -A INPUT -p tcp --dport 1433 -j REJECT --reject-with icmp-host-prohibited
启用防火墙规则以允许特定的IP地址访问MySQL端口。
# 允许特定IP地址访问MySQL端口
iptables -A INPUT -p tcp -s 你的允许IP地址 --dport 3306 -j ACCEPT
如果系统上启用了SELinux,需要配置相应的策略以允许MySQL通过防火墙。
# 检查SELinux状态
sestatus
# 配置SELinux策略
semanage port -a -t mysql_port_t -p tcp 3306
为了确保系统重启后规则仍然有效,需要保存和持久化iptables规则。
# 保存iptables规则
iptables-save > /etc/iptables/rules.v4
# 设置iptables规则在系统启动时自动加载
iptables-restore < /etc/iptables/rules.v4
在MySQL配置文件(通常是/etc/my.cnf
或/etc/mysql/my.cnf
)中,配置一些安全选项以增强安全性。
[mysqld]
# 限制root用户远程访问
bind-address = 127.0.0.1
# 启用密码策略
password_policy = strong
# 限制登录失败次数
max_connect_errors = 5
# 禁用远程root登录
skip-grant-tables
应用所有配置更改后,重启MySQL服务以使更改生效。
systemctl restart mysqld
通过以上步骤,你可以显著提升MySQL的安全性,限制不必要的网络访问,并启用防火墙规则以保护MySQL数据库。