MySQL最大风险源是默认空密码的root账户及多主机同名账户,须立即查删空密账户、启用密码策略、创建最小权限账号、限制监听地址并降低日志敏感度。
新装 MySQL 后,root@localhost 账户默认可能无密码,或存在 root@127.0.0.1、root@::1 等多个同名但主机不同的账户,部分甚至密码为空。攻击者只要能本地登录(比如通过 SSH 进入服务器),就能直接 mysql -u root 无密进入,完全控制数据库。
SELECT user, host, authentication_string FROM mysql.user;查看所有账户及其认证字符串(MySQL 5.7+)或
400-9888-660 password 字段(5.6 及更早)authentication_string 为 '' 或 *),用 ALTER USER 'user'@'host' IDENTIFIED BY '强密码'; 重置DROP USER 'root'@'%';(除非明确需要远程 root)、DROP USER ''@'localhost';(匿名用户)root@localhost,删掉或禁用 root@'%' 和其他通配 hostMySQL 5.7+ 自带 validate_password 插件,但默认不启用。不启用时,SET PASSWORD 或 CREATE USER 允许设 '123'、'password' 这类弱口令,等于形同虚设。
SHOW VARIABLES LIKE 'validate_password%';若返回空,说明插件未启用
INSTALL PLUGIN validate_password SONAME 'validate_password.so';(Linux)或
validate_password.dll(Windows)SET GLOBAL validate_password.policy = MEDIUM;(推荐),同时设最小长度:SET GLOBAL validate_password.length = 10;
CREATE USER 'app'@'%' IDENTIFIED BY 'abc'; 会报错 ERROR 1819 (HY000): Your password does not satisfy the current policy requirements
很多 Web 应用直接在配置里写 root 和密码,一旦代码泄露、日志误打、或 SQL 注入成功,攻击者就拿到全库 DROP 权限。真实场景中,一个订单查询接口只需要 SELECT 权限,却给了 ALL PRIVILEGES。
CREATE USER 'shop_app'@'10.20.30.%' IDENTIFIED BY '长随机密码';(限定来源 IP 段)GRANT SELECT, INSERT ON shop_db.orders TO 'shop_app'@'10.20.30.%';,不要用 ON *.*
REVOKE DROP ON shop_db.* FROM 'shop_app'@'10.20.30.%';(即使没显式授予,也建议显式回收)SELECT u.user, u.host, p.table_schema, p.privilege_type FROM mysql.users u JOIN mysql.schema_privileges p ON u.user = p.grantee;(注意:不同版本视图名略有差异)
MySQL 默认监听 0.0.0.0:3306,意味着只要防火墙没拦,外网就能扫到端口。而开启 log_error_verbosity =(默认)时,错误日志会记录认证失败的用户名——攻击者可借此枚举有效账户名。
3
my.cnf 中 bind-address = 127.0.0.1 或具体内网 IP(如 10.20.30.5),避免 0.0.0.0
ufw deny 3306 或 iptables -A INPUT -p tcp --dport 3306 -j DROP
SET GLOBAL log_error_verbosity = 2;(不记录用户名,只记失败事件)SET GLOBAL old_passwords = 0;,并确保客户端使用 caching_sha2_password 或 mysql_native_password 插件实际中最容易被忽略的是:多个 host 的同名账户权限不一致,且其中一个留着空密码;或者以为禁用了 root@’%’ 就安全了,却忘了 root@’::1’ 依然可用。这类细节不会报错,也不会告警,但只要一次扫描或一次本地提权,就全线失守。
