MySQL安全加固十大硬核操作大纲

认证与访问控制

启用强密码策略，设置密码复杂度要求（如最小长度、特殊字符）。
限制root用户远程登录，仅允许本地或指定IP访问。
创建最小权限账户，按业务需求分配精确的库、表、列权限。

数据加密与传输安全

强制使用SSL/TLS加密客户端与服务器的通信。
对敏感数据字段（如密码、身份证号）应用AES等加密算法存储。
启用sha256_password或caching_sha2_password插件增强认证加密。

配置与日志审计

修改默认端口（3306）减少自动化攻击风险。
开启二进制日志（binlog）和通用查询日志，定期审计异常操作。
禁用LOAD DATA LOCAL INFILE防止恶意文件读取。

系统与网络安全

使用防火墙限制仅允许应用服务器IP连接MySQL端口。
定期更新MySQL版本及补丁，修复已知CVE漏洞。
部署数据库防火墙或WAF拦截SQL注入等高危请求。

备份与灾难恢复

配置自动化全量+增量备份策略，测试备份可恢复性。
备份文件加密存储，确保与主库物理隔离。
制定RTO/RPO指标，定期演练灾难恢复流程。

高级防护措施

启用query_cache限制或禁用防止缓存投毒攻击。
配置max_connections防止连接耗尽型DDoS。
对子查询和视图进行安全审查，避免权限逃逸。

内核级加固

调整secure_file_priv参数限制文件导出路径。
禁用skip-grant-tables等危险启动选项。
使用AppArmor/SELinux限制MySQL进程权限范围。

监控与应急响应

部署实时监控工具（如Prometheus）跟踪异常登录、慢查询。
设置阈值告警（如每分钟失败登录次数超过5次）。
建立安全事件响应SOP，包含锁账户、取证等步骤。

合规与最佳实践

遵循GDPR、PCI DSS等法规要求的数据保护条款。
定期进行漏洞扫描与渗透测试（如使用sqlmap验证注入防护）。
参考OWASP Top 10数据库安全建议迭代防护策略。

云数据库特别项

云环境启用IAM细粒度权限管理替代传统账户体系。
配置VPC私有网络隔离，禁用公网访问。
使用KMS管理主密钥，开启云厂商提供的透明数据加密（TDE）。