mysql中密码安全设置与安全漏洞防范

MySQL最大风险源是默认空密码的root账户及多主机同名账户，须立即查删空密账户、启用密码策略、创建最小权限账号、限制监听地址并降低日志敏感度。

MySQL 默认账户与空密码是最大风险源

新装 MySQL 后，root@localhost 账户默认可能无密码，或存在 root@127.0.0.1、root@::1 等多个同名但主机不同的账户，部分甚至密码为空。攻击者只要能本地登录（比如通过 SSH 进入服务器），就能直接 mysql -u root 无密进入，完全控制数据库。

• 立即运行

  SELECT user, host, authentication_string FROM mysql.user;

  查看所有账户及其认证字符串（MySQL 5.7+）或 password 字段（5.6 及更早）
• 对所有空密码账户（authentication_string 为 '' 或 *），用 ALTER USER 'user'@'host' IDENTIFIED BY '强密码'; 重置
• 删除无用账户：如 DROP USER 'root'@'%';（除非明确需要远程 root）、DROP USER ''@'localhost';（匿名用户）
• 禁止 root 远程登录：保留 root@localhost，删掉或禁用 root@'%' 和其他通配 host

密码策略必须启用并强制执行

MySQL 5.7+ 自带 validate_password 插件，但默认不启用。不启用时，SET PASSWORD 或 CREATE USER 允许设 '123'、'password' 这类弱口令，等于形同虚设。

• 检查是否加载：

  SHOW VARIABLES LIKE 'validate_password%';

  若返回空，说明插件未启用
• 启用插件：

  INSTALL PLUGIN validate_password SONAME 'validate_password.so';

  （Linux）或 validate_password.dll（Windows）
• 设置强度等级：SET GLOBAL validate_password.policy = MEDIUM;（推荐），同时设最小长度：SET GLOBAL validate_password.length = 10;
• 策略生效后，CREATE USER 'app'@'%' IDENTIFIED BY 'abc'; 会报错 ERROR 1819 (HY000): Your password does not satisfy the current policy requirements

应用连接不要复用 root，要按需建最小权限账号

很多 Web 应用直接在配置里写 root 和密码，一旦代码泄露、日志误打、或 SQL 注入成功，攻击者就拿到全库 DROP 权限。真实场景中，一个订单查询接口只需要 SELECT 权限，却给了 ALL PRIVILEGES。

ECTouch移动商城系统

ECTouch是上海商创网络科技有限公司推出的一套基于 PHP 和 MySQL 数据库构建的开源且易于使用的移动商城网店系统！应用于各种服务器平台的高效、快速和易于管理的网店解决方案，采用稳定的MVC框架开发，完美对接ecshop系统与模板堂众多模板，为中小企业提供最佳的移动电商解决方案。ECTouch程序源代码完全无加密。安装时只需将已集成的文件夹放进指定位置，通过浏览器访问一键安装，无需对已有

下载

• 创建专用账号：CREATE USER 'shop_app'@'10.20.30.%' IDENTIFIED BY '长随机密码';（限定来源 IP 段）
• 只授必要权限：GRANT SELECT, INSERT ON shop_db.orders TO 'shop_app'@'10.20.30.%';，不要用 ON *.*
• 回收多余权限：REVOKE DROP ON shop_db.* FROM 'shop_app'@'10.20.30.%';（即使没显式授予，也建议显式回收）
• 定期审计：

  SELECT u.user, u.host, p.table_schema, p.privilege_type FROM mysql.users u JOIN mysql.schema_privileges p ON u.user = p.grantee;

  （注意：不同版本视图名略有差异）

网络层暴露和错误信息泄露常被忽视

MySQL 默认监听 0.0.0.0:3306，意味着只要防火墙没拦，外网就能扫到端口。而开启 log_error_verbosity = 3（默认）时，错误日志会记录认证失败的用户名——攻击者可借此枚举有效账户名。

• 绑定内网地址：修改 my.cnf 中 bind-address = 127.0.0.1 或具体内网 IP（如 10.20.30.5），避免 0.0.0.0
• 关闭远程 root 登录后，仍要确认防火墙规则：ufw deny 3306 或 iptables -A INPUT -p tcp --dport 3306 -j DROP
• 降低错误日志敏感度：SET GLOBAL log_error_verbosity = 2;（不记录用户名，只记失败事件）
• 禁用旧协议认证：SET GLOBAL old_passwords = 0;，并确保客户端使用 caching_sha2_password 或 mysql_native_password 插件

实际中最容易被忽略的是：多个 host 的同名账户权限不一致，且其中一个留着空密码；或者以为禁用了 root@’%’ 就安全了，却忘了 root@’::1’ 依然可用。这类细节不会报错，也不会告警，但只要一次扫描或一次本地提权，就全线失守。