应严格限制普通用户访问 MySQL 系统数据库 mysql,禁止授予 ON mysql.* 权限,仅管理员本地可查改 user 表,遵循最小权限原则并定期审计权限配置。
限制用户对 mysql 系统数据库的访问,核心是避免普通用户拥有修改权限表、用户表或影响服务安全的能力。MySQL 的 mysql 库存储了用户、权限、角色等关键元数据,直接读写可能导致越权或服务异常。
明确禁止普通用户访问 mysql 库
默认情况下,MySQL 5.7+ 新建用户(如用 CREATE USER)不会自动获得任何权限,包括对 mysql 库的访问权。但若误执行了类似 GRANT ALL ON *.* 或 GRANT SELECT ON mysql.*,就可能开放危险权限。
- 检查当前用户权限:运行
SHOW GRANTS FOR 'username'@'host'; - 若发现含
ON mysql.*的授权语句,立即撤销:REVOKE ALL PRIVILEGES ON mysql.* FROM 'username'@'host'; - 确认撤销后执行
FLUSH PRIVILEGES;
只授予业务所需最小权限
为应用用户分配权限时,严格遵循最小权限原则——只给它操作自己库表的权限,不跨库、不碰系统库。
- 例如应用只需查改
app_db中的orders表:GRANT SELECT, INSERT, UPDATE ON app_db.orders TO 'app_user'@'%'; - 避免使用
GRANT …… ON *.*或GRANT …… ON mysql.* - 生产环境禁用
SUPER、REPLICATION CLIENT、PROCESS等高危权限,除非明确需要
禁用 root 远程登录,隔离管理账户
root 用户默认可访问所有库(含 mysql),必须限制其使用场景。
- 删除远程 root 账户:
DROP USER 'root'@'%'; - 仅保留本地管理账户:
CREATE USER 'admin'@'localhost' IDENTIFIED BY 'strong_pass';GRANT SELECT, INSERT, UPDATE, DELETE ON mysql.user TO 'admin'@'localhost';(按需授权,不给 ALL) - 日常运维通过跳板机或 SSH 登录数据库服务器后本地操作
启用 SQL 模式与审计辅助管控
单纯靠权限控制不够,配合运行时约束更稳妥。
- 启动时设置
--sql-mode=STRICT_TRANS_TABLES,NO_AUTO_CREATE_USER,防止隐式创建用户或宽泛授权 - 开启通用查询日志或使用 MySQL Enterprise Audit(或 Percona Audit Plugin)记录对
mysql库的 DML 操作,便于追溯异常行为 - 定期用脚本检查:
SELECT user, host FROM mysql.user WHERE user != 'root' AND (Select_priv = 'Y' OR Update_priv = 'Y') AND (user NOT IN ('backup', 'monitor'));
权限控制不是一次性配置,而是持续验证的过程。每次新增用户、调整权限后都应复查,确保 mysql 库始终只有可信管理员可写。
