如何在Debian上安全地运行MySQL

在 Debian 上安全运行 MySQL 的实用清单

一 安装与基础加固

• 更新系统并安装：执行 sudo apt update & & sudo apt install mysql-server，随后启动并设置开机自启：sudo systemctl start mysql & & sudo systemctl enable mysql。完成后立即运行 sudo mysql_secure_installation，按向导完成：设置 root 密码、删除匿名用户、禁止 root 远程登录、删除测试数据库、重新加载权限表。为日常运维创建最小权限账户，例如：CREATE DATABASE mydb; CREATE USER app@localhost IDENTIFIED BY ‘强密码’; GRANT ALL PRIVILEGES ON mydb.* TO app@localhost; FLUSH PRIVILEGES; 。以上步骤能快速建立安全基线。

二 网络与访问控制

• 默认仅本地监听：编辑 /etc/mysql/mysql.conf.d/mysqld.cnf，在 [mysqld] 中设置 bind-address = 127.0.0.1，然后 sudo systemctl restart mysql。如确需远程访问，仅在内网环境开放，并创建专用于远程的账户（避免使用 root），例如：CREATE USER remote@‘10.0.0.%’ IDENTIFIED BY ‘强密码’; GRANT SELECT, INSERT, UPDATE, DELETE ON mydb.* TO remote@‘10.0.0.%’; FLUSH PRIVILEGES; 。在边界防火墙仅放行 3306/TCP 到受控来源（例如 UFW: sudo ufw allow from 10.0.0.0/24 to any port 3306），严禁对 0.0.0.0/0 开放。若遇到连接慢，可在配置中启用 skip-name-resolve 以减少 DNS 反向解析开销。

三 认证与权限最小化

• 采用强口令策略并遵循最小权限原则：为应用创建专用账户，仅授予目标库/表的必要权限；避免使用通配符主机 ‘%’ 与 SUPER 等高权限，除非确有业务需求且可审计。定期审计用户与权限：SELECT user, host FROM mysql.user; SHOW GRANTS FOR ‘app’@‘localhost’; 。如需对外网只读访问，可创建只读账号（GRANT SELECT …）。以上做法能显著降低被滥用时的破坏面。

四 运行环境与加固要点

• 保持软件更新：sudo apt update & & sudo apt upgrade，及时修补安全漏洞；配置日志与监控（错误日志通常位于 /var/log/mysql/error.log），并定期备份（例如使用 mysqldump 或物理备份），确保可快速恢复。性能与资源控制可按负载调整参数（如 innodb_buffer_pool_size、max_connections），避免过度分配导致资源争用。这些措施有助于稳定运行与快速排障。

五 常见安全操作速查

• 忘记 root 密码的恢复流程：sudo systemctl stop mysql；以安全模式启动：sudo mysqld_safe --skip-grant-tables & ；登录后执行：ALTER USER ‘root’@‘localhost’ IDENTIFIED BY ‘新强密码’; ；重启服务：sudo systemctl restart mysql。远程访问如需开启，务必限定来源网段、使用专用账户并配合防火墙策略，切勿对公网开放 3306/TCP。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！