什么是 MySQL？MySQL 是一個開源的 RDBMS（關系數據庫管理系統）。它基于結構化查詢語言 (SQL)，可在許多平臺上運行，包括 Windows、Linux 和 UNIX。MySQL 還在所有流行的公共云平臺上作為服務提供，包括Amazon、Azure和Google Cloud。

MySQL 是 LAMP 的一部分，LAMP 是一個開源 Web 開發平臺。LAMP 企業堆棧由 Linux（操作系統）、Apache（Web 服務器）、MySQL (RDBMS) 和 PHP（面向對象的腳本語言）、Perl 或 Python 組成。

MySQL 有助于支持各種用例，包括 Web 應用程序和在線發布場景。它為網站、面向消費者和基于企業網絡的應用程序提供支持，例如 Twitter、YouTube 和 Facebook。

數據庫安全威脅

數據庫存儲敏感信息，這些信息容易受到許多威脅——包括數據丟失和被盜、隱私侵犯、可用性問題以及惡意或意外修改。這些問題可能由于各種原因而發生，包括外部攻擊者、惡意內部人員和意外操作。MySQL 等開源數據庫通常會帶來與安全通信和訪問控制相關的安全問題，以及已知漏洞和零日漏洞等開源安全風險。

訪問和特權

例如，過多的權限可以讓用戶獲得對機密信息的不必要的訪問權限。此問題可能會升級為權限濫用，使授權用戶能夠濫用其權限來執行未經授權的操作。雖然您可以使用訪問控制策略和查詢級訪問控制來緩解這些威脅，但可能會出現更多問題。例如，它可能無法阻止威脅參與者將低級別訪問升級為高級權限。

漏洞和攻擊

平臺和操作系統通常包含漏洞，可能導致泄漏和數據損壞。您可以使用補丁管理流程和漏洞評估來緩解這種情況。但是，漏洞評估無法阻止威脅行為者使用 SQL 注入發送未經授權的數據庫查詢以誘騙服務器泄露信息。您需要使用準備好的 SQL 語句來減輕這種威脅。數據庫也會受到拒絕服務 (DoS) 攻擊，這些攻擊會使資源和數據庫不可用，從而拒絕用戶訪問數據或應用程序。

MySQL 安全最佳實踐

以下最佳實踐可以幫助您增強 MySQL 數據庫的安全性。

修改端口映射

MySQL 的默認映射是在端口 3306 上運行。您應該在安裝 MYSQL 后更改此設置以隱藏運行關鍵服務的端口。攻擊者通常首先針對默認設置，因此修改它們以避免漏洞利用非常重要。

避免使用 root 權限運行 MySQL

您應該在包含運行服務所需的最小權限的專用用戶帳戶下運行 MySQL。不要讓 MySQL 直接作為根服務器運行。除了日志記錄和審計的優勢之外，避免 root 級權限有助于確保攻擊者無法劫持 root 用戶帳戶以獲得訪問權限。

在云中保護 MySQL

如果您在云環境中運行 MySQL，您的云提供商可能會提供安全服務來保護您的數據庫。例如，Azure 允許您使用 Microsoft Defender 來保護您的開源關系數據庫，以檢測可能表明惡意嘗試訪問服務器的異常行為。AWS 提供 AWS Shield 來幫助保護應用程序和數據庫免受分布式拒絕服務 (DDoS) 攻擊。

禁用和刪除您的 MySQL 歷史記錄

默認情況下，MySQL 在安裝時會創建一個歷史文件，將其存儲在 ~/.mysql_history 下。您應該刪除此文件，因為它詳細說明了您的安裝和配置歷史。如果受到破壞，惡意行為者可以使用它來暴露關鍵的數據庫用戶密碼。您還應該創建從歷史文件到空設備的軟鏈接，以防止 MySQL 將事件記錄到文件中。

鎖定可疑活動的用戶帳戶

MySQL 8.0.19 引入了臨時帳戶鎖定功能。您可以將 MySQL 設置為根據登錄嘗試失敗次數和帳戶鎖定時間等變量來鎖定用戶帳戶。

在創建用戶帳戶時運行以下腳本以啟用帳戶鎖定：CREATE USER ‘demo_user’@’localhost’ IDENTIFIED BY ‘userpassword’ FAILED_LOGIN_ATTEMPTS 4 PASSWORD_LOCK_TIME 10;

失敗登錄嘗試變量后面的值指定鎖定帳戶之前所需的失敗嘗試次數。密碼鎖定時間變量后面的值指定帳戶將被鎖定的時間（以天為單位）。您還可以將“無界”指定為密碼鎖定時間值，以使帳戶無限期鎖定，直到手動解鎖為止。

使用身份驗證插件

身份驗證插件使用戶能夠選擇他們喜歡的身份驗證方法。MySQL 支持許多可插入的身份驗證選項，您可以將它們組合起來以獲得更高的安全性。您可以在 ALTER USER 或 CREATE USER 等語句旁邊使用身份驗證插件。

例如：CREATE USER ‘user_7’@’localhost’ IDENTIFIED WITH mysql_native_password BY ‘password’;

此查詢使用本機密碼散列來實現身份驗證。

限制或禁用數據庫可見性

SHOW DATABASES 命令允許用戶查看敏感信息。您應該限制使用此命令以防止遠程用戶和惡意行為者收集有關您的數據庫的數據。您可以通過在 [mysqld] 部分中指定“skip-show-database”來限制或刪除 MYSQL 配置文件中的此功能。

加密靜態和傳輸中的數據

默認情況下，MySQL 在服務器和客戶端之間使用未加密的通信，這為攻擊者提供了通過中間人 (MitM) 攻擊攔截數據的機會。同樣，數據庫中未加密的任何用戶數據都可能危及用戶的完整性和隱私。

您可以使用 TLS/SSL 加密來保護網絡之間的 MySQL 通信。受保護網絡內的通信可能不需要加密。MySQL 還允許您對靜態數據進行加密，以在服務器遭到破壞時保護您存儲的數據。

實施安全密碼策略

MySQL 允許您應用密碼策略，要求非特權用戶在輸入當前密碼時設置新密碼。此功能可以保護您的數據庫免受多種威脅，例如入侵主機并嘗試使用 Web Shell 訪問用戶數據庫會話的攻擊者。啟用密碼策略更改后，攻擊者無法鎖定目標用戶，除非他們擁有用戶的現有密碼。

MySQL 默認不啟用 Change Current Password 策略。您可以基于單個用戶或全局控制此策略（在所有非特權用戶帳戶中強制執行）。建議全局設置策略，或至少覆蓋所有非特權用戶。使用 my.cnf 服務器文件啟用全局當前密碼策略。