修改root用户密码,在MySql控制台中执行: > set password for 'root'@'localhost'=password('new_password'); #实际操作中,只需将上面new_password换成实际的口令即可 为了更有效的改进root用户的安全性,就是为其改名。需要更新表用户中的mysql数据库。在控制台中执行: > use mysql; > update user set user="another_username" where user="root"; > flush privileges; 然后,可用通过$ mysql -u another_username -p 访问mysql控制台了。
数据库中所有用户都应该配置密码,通过以下语句可以查询是否有空密码账户: > select * from mysql.user where user=""; 3. 配置合适的密码强度,最长使用期限小于90天
数据库用户Miami复杂性包括长度、大小写和特殊字符。 加固方法:添加以下配置行到全局配置
plugin-load = validate_password.so #加载密码强度验证插件 validate_password_length = 14 #密码长度最小为14,默认为8 validate_password_mixed_case_count = 1 #至少包含的小写字母个数和大写字母个数 validate_password_number_count = 1 #至少包含的数字个数 validate_password_special_char_count = 1 #至少包含的特殊字符个数 validate_password_policy = MEDIUM #密码强度等级,有三种:0/LOW、1/MEDIUM、2/STRONG,默认为MEDIUM Policy Tests Performed 0 or LOW Length 1 or MEDIUM Length; numeric, lowercase/uppercase, and special characters 2 or STRONG Length; numeric, lowercase/uppercase, and special characters; dictionary file > set global default_password_lifetime=90; 4. 降低用户的数据库特权,只有管理员有完整的数据库访问权限
> show processlist; # 或者 > use information_schema; > select * from PROCESSLIST where info is not null; 使用如下命令查看拥有对应权限的数据库账号:
select host,user from mysql.user where File_priv='Y'; 如果存在非管理员用户,使用如下命令进行权限回收:
revoke file on *.* from 'mysql'; 5. 禁止或限制远程访问,确保特定主机才拥有访问权限
> grant all on *.* to 'root'@'%'; 上面这个授权,允许root用在所有主机上对数据库的所有执行权限,要限制特定主机可以采用: > grant all on *.* to 'root'@'localhost'; > grant all on *.* to 'root'@'hostname_ip'; #可以是ip或者主机名 如果,要取消在某台主机上的访问权限,可以采用:
> revoke all on *.* from 'root'@'hostname_ip'; 如果,只授权部分权限,可以采用:
> grant select on mydb.* to 'someuser'@'hostname_ip'; 6. 配置MySql日志便于审计
