1. 系统与MySQL版本更新
保持Ubuntu系统和MySQL服务器为最新版本,及时修复已知安全漏洞。安装完成后运行sudo apt update && sudo apt upgrade mysql-server更新MySQL,定期执行该命令确保系统与数据库处于最新状态。
2. 初始安全配置(关键步骤)
安装完成后必须运行sudo mysql_secure_installation脚本,完成以下核心设置:设置root用户强密码(包含大小写字母、数字和特殊字符)、删除匿名用户(防止未授权匿名访问)、禁止root用户远程登录(降低远程攻击风险)、删除测试数据库(避免敏感数据泄露)、重新加载权限表(使设置生效)。
3. 用户权限精细化管理
遵循“最小权限原则”创建用户并授予权限:避免使用root用户进行日常操作,创建专用用户(如CREATE USER 'appuser'@'localhost' IDENTIFIED BY 'StrongPass123!');仅授予用户完成工作所需的最小权限(如GRANT SELECT, INSERT ON mydb.* TO 'appuser'@'localhost'),避免使用GRANT ALL PRIVILEGES;定期审查用户权限(如SHOW GRANTS FOR 'appuser'@'localhost'),及时撤销不必要的权限(REVOKE ALL PRIVILEGES ON *.* FROM 'unuseduser'@'localhost')。
4. 网络访问控制
ufw防火墙限制MySQL端口(默认3306)的访问,仅允许可信IP地址连接(如sudo ufw allow from 192.168.1.100 to any port 3306),然后启用防火墙(sudo ufw enable);/etc/mysql/mysql.conf.d/mysqld.cnf),将bind-address从0.0.0.0(允许所有IP连接)改为127.0.0.1(仅本地访问),重启MySQL服务(sudo systemctl restart mysql)使设置生效。5. 数据传输加密(SSL/TLS)
为防止数据在传输过程中被窃取或篡改,启用MySQL SSL加密:
sudo apt install openssl);openssl genpkey -algorithm RSA -out mysql_private.key -aes256、openssl req -new -key mysql_private.key -out mysql_csr.csr、openssl x509 -req -days 365 -in mysql_csr.csr -signkey mysql_private.key -out mysql_certificate.crt);/etc/mysql/mysql.conf.d/mysqld.cnf,在[mysqld]部分添加ssl-ca=/path/to/mysql_certificate.crt、ssl-cert=/path/to/mysql_certificate.crt、ssl-key=/path/to/mysql_private.key;sudo systemctl restart mysql)并验证加密是否启用(SHOW VARIABLES LIKE '%ssl%';)。6. 日志与监控
启用MySQL日志记录,跟踪登录和操作行为:在配置文件(/etc/mysql/mysql.conf.d/mysqld.cnf)中设置log_bin=/var/log/mysql/mysql-bin.log(二进制日志,记录所有更改数据的查询)、general_log=1(通用日志,记录所有查询)、slow_query_log=1(慢查询日志,记录执行时间超过阈值的查询);定期审查日志(如使用grep或日志分析工具),及时发现异常登录(如多次失败尝试)或可疑操作(如大量数据导出)。
7. 数据备份与恢复
定期备份数据库,确保数据丢失后可快速恢复:使用mysqldump工具备份(如mysqldump -u root -p mydb > mydb_backup_$(date +%F).sql),将备份文件存储在安全位置(如异地服务器或云存储);测试备份文件的恢复流程(如mysql -u root -p mydb < backup_file.sql),确保备份有效性。
8. 其他安全增强措施
/etc/mysql/mysql.conf.d/mysqld.cnf)中设置local_infile=0,禁止MySQL加载本地文件,防止恶意用户通过LOAD DATA LOCAL INFILE命令读取系统文件;SET GLOBAL validate_password.policy=MEDIUM;要求密码包含大小写字母、数字和特殊字符,SET GLOBAL validate_password.length=12;要求密码长度至少12位),强制用户使用强密码。