centos上mysql如何進行安全加固

在CentOS上對MySQL進行安全加固是一個重要的步驟，以確保數據庫的安全性和穩定性。以下是一些常見的安全加固措施：

1. 修改默認配置

• 修改默認端口：將MySQL的默認端口3306改為其他不常用的端口。

  sudo sed -i 's/^port = 3306/port = 3307/' /etc/my.cnf
  

• 禁用遠程root登錄：修改bind-address為127.0.0.1，并確保root用戶只能本地登錄。

  sudo sed -i 's/^bind-address = 127.0.0.1/bind-address = 127.0.0.1/' /etc/my.cnf
  sudo sed -i 's/^skip-networking/skip-networking/' /etc/my.cnf
  

2. 用戶權限管理

• 刪除匿名用戶：確保沒有匿名用戶存在。

  DELETE FROM mysql.user WHERE User='';
  FLUSH PRIVILEGES;
  

• 重命名root用戶：為了增加安全性，可以將root用戶重命名為其他名稱。

  RENAME USER 'root'@'localhost' TO 'new_root'@'localhost';
  FLUSH PRIVILEGES;
  

• 創建新管理員賬戶：創建一個新的管理員賬戶并分配適當的權限。

  CREATE USER 'admin'@'localhost' IDENTIFIED BY 'password';
  GRANT ALL PRIVILEGES ON *.* TO 'admin'@'localhost' WITH GRANT OPTION;
  FLUSH PRIVILEGES;
  

3. 密碼策略

• 設置強密碼：確保所有用戶都有強密碼。

  ALTER USER 'admin'@'localhost' IDENTIFIED BY 'StrongPassword!';
  FLUSH PRIVILEGES;
  

• 使用密碼過期策略：設置密碼過期時間。

  SET GLOBAL validate_password.policy = MEDIUM;
  SET GLOBAL validate_password.length = 8;
  

4. 日志管理

• 啟用審計日志：啟用MySQL的審計日志功能，記錄所有數據庫操作。

  sudo yum install mysql-audit-plugin
  sudo systemctl enable mysql-audit
  sudo systemctl start mysql-audit
  

• 配置日志文件：確保日志文件存儲在安全的位置，并定期檢查日志文件。

  sudo sed -i 's/^log_error = /log_error = \/var\/log\/mysql\/error.log/' /etc/my.cnf
  sudo sed -i 's/^general_log = /general_log = 1/' /etc/my.cnf
  sudo sed -i 's/^general_log_file = /general_log_file = \/var\/log\/mysql\/general.log/' /etc/my.cnf
  

5. 防火墻配置

• 限制訪問：使用防火墻限制對MySQL端口的訪問。

  sudo firewall-cmd --permanent --zone=public --add-port=3307/tcp
  sudo firewall-cmd --reload
  

6. 定期備份

• 設置定期備份：使用mysqldump或其他備份工具定期備份數據庫。

  mysqldump -u root -p --all-databases > /backup/all_databases.sql
  

7. 更新和補丁

• 定期更新MySQL：確保MySQL版本是最新的，并及時應用安全補丁。

  sudo yum update mysql-server
  

通過以上步驟，可以顯著提高CentOS上MySQL的安全性。請根據實際情況調整配置，并定期檢查和更新安全設置。