修改root用戶密碼,在MySql控制臺中執行: > set password for 'root'@'localhost'=password('new_password'); #實際操作中,只需將上面new_password換成實際的口令即可 為了更有效的改進root用戶的安全性,就是為其改名。需要更新表用戶中的mysql數據庫。在控制臺中執行: > use mysql; > update user set user="another_username" where user="root"; > flush privileges; 然后,可用通過$ mysql -u another_username -p 訪問mysql控制臺了。
數據庫中所有用戶都應該配置密碼,通過以下語句可以查詢是否有空密碼賬戶: > select * from mysql.user where user=""; 3. 配置合適的密碼強度,最長使用期限小于90天
數據庫用戶Miami復雜性包括長度、大小寫和特殊字符。 加固方法:添加以下配置行到全局配置
plugin-load = validate_password.so #加載密碼強度驗證插件 validate_password_length = 14 #密碼長度最小為14,默認為8 validate_password_mixed_case_count = 1 #至少包含的小寫字母個數和大寫字母個數 validate_password_number_count = 1 #至少包含的數字個數 validate_password_special_char_count = 1 #至少包含的特殊字符個數 validate_password_policy = MEDIUM #密碼強度等級,有三種:0/LOW、1/MEDIUM、2/STRONG,默認為MEDIUM Policy Tests Performed 0 or LOW Length 1 or MEDIUM Length; numeric, lowercase/uppercase, and special characters 2 or STRONG Length; numeric, lowercase/uppercase, and special characters; dictionary file > set global default_password_lifetime=90; 4. 降低用戶的數據庫特權,只有管理員有完整的數據庫訪問權限
> show processlist; # 或者 > use information_schema; > select * from PROCESSLIST where info is not null; 使用如下命令查看擁有對應權限的數據庫賬號:
select host,user from mysql.user where File_priv='Y'; 如果存在非管理員用戶,使用如下命令進行權限回收:
revoke file on *.* from 'mysql'; 5. 禁止或限制遠程訪問,確保特定主機才擁有訪問權限
> grant all on *.* to 'root'@'%'; 上面這個授權,允許root用在所有主機上對數據庫的所有執行權限,要限制特定主機可以采用: > grant all on *.* to 'root'@'localhost'; > grant all on *.* to 'root'@'hostname_ip'; #可以是ip或者主機名 如果,要取消在某臺主機上的訪問權限,可以采用:
> revoke all on *.* from 'root'@'hostname_ip'; 如果,只授權部分權限,可以采用:
> grant select on mydb.* to 'someuser'@'hostname_ip'; 6. 配置MySql日志便于審計
