防止MySQL数据泄露需分层设防:1.权限最小化,禁用root远程登录,按需创建受限账号;2.启用TLS加密通信;3.敏感字段应用层加密存储;4.开启审计监控并导出日志至SIEM。
防止 MySQL 数据泄露,核心在于“权限最小化 + 通信加密 + 行为可审计 + 系统强加固”。不是靠单一功能,而是分层设防。
严格管控账号权限
多数数据泄露源于高权限账号被滥用或失陷。生产环境严禁使用 root 远程登录,应为每个应用或模块创建独立账号,并仅授予其必需的数据库、表、操作(SELECT/INSERT/UPDATE/DELETE)权限。
- 用 CREATE USER 'app_user'@'192.168.1.%' IDENTIFIED BY '强密码'; 明确限制登录 IP 段
- 用 GRANT SELECT, INSERT ON mydb.orders TO 'app_user'@'192.168.1.%'; 精确授权,避免 GRANT ALL
- 定期执行 SELECT user, host, authentication_string FROM mysql.user; 审查账号及认证方式,禁用空密码或弱密码账号
启用传输层加密(TLS)
明文传输 SQL 查询和结果(尤其含敏感字段时)极易被中间人截获。MySQL 5.7+ 原生支持 TLS,必须启用。
- 在 my.cnf 中配置:
[mysqld]
ssl-ca=/path/to/ca.pem
ssl-cert=/path/to/server-cert.pem
ssl-key=/path/to/server-key.pem - 强制客户端加密连接:
ALTER USER 'app_user'@'%' REQUIRE SSL; - 连接时验证证书(如使用 MySQL Shell 或 JDBC):添加 &useSSL=true&requireSSL=true
敏感字段加密存储
即使数据库被拖库,加密字段也能守住最后一道防线。优先使用应用层加密(如 AES-GCM),避免依赖数据库函数导致密钥暴露风险。
- 不推荐 AES_ENCRYPT() 存储密码或身份证号——密钥易硬编码在 SQL 或配置中
- 推荐在应用代码中用标准加密库(如 Python 的 cryptography、Java 的 javax.crypto)加密后再写入 VARCHAR/BLOB 字段
- 对必须索引的敏感字段(如手机号前缀),可结合哈希脱敏(如 SHA256 + salt)用于查询,原始值仍加密存储
开启审计与行为监控
无法杜绝入侵,但能快速发现异常。MySQL 企业版有 Audit Log 插件,社区版可用 MariaDB 替代或集成第三方审计工具(如 Percona Audit Plugin)。
- 记录关键操作:DROP TABLE、TRUNCATE、SELECT * FROM user_info、高危 WHERE 条件(如 1=1)
- 将日志导出到独立服务器或 SIEM 系统(如 ELK、Splunk),设置告警规则(如 1 分钟内 50 次 SELECT *)
- 定期审查慢查询日志与 general_log(仅调试开启),关闭 general_log 生产环境
