服务器的Mysql初始化设置

继上篇博客记录了服务器的初始化安全设置之后，本篇文章会记录Mysql数据库的初始化安全设置。在操作mysql之前，最好先行备份，毕竟有“备”无患嘛。

一、修改root用户的口令

在Ubuntu16.04版本的服务器上，如果安装mysql的话会要求大家设置root的密码，若是没有设置过root用户的密码，可以用下面三种方法来这是

• 用mysqladmin命令来改root用户口令

mysqladmin -u root password 123456 // 设置mysql管理员root的密码为123456

• 用set password命令来修改密码：

mysql> set password for root@localhost=password('123456');

• 直接修改user表的root用户口令

mysql> use mysql;
mysql> update user set password=password('123456') where user='root';
mysql> flush privileges;

这就是三种修改mysql中管理员口令的操作方式。

二、删除默认的数据库和用户

mysql初始化后会自动生成空用户和test库，但实际上这样会留有安全隐患，所以我们在这里选择全部删除的操作。我们在命令行进入mysql后执行下面这些命令。

mysql> drop database test;
mysql> use mysql;
mysql> delete from db;
mysql> delete from user where not(host="localhost" and user="root");
mysql> flush privileges;

三、修改默认的管理员名称

因为默认的管理员名称是root，为了防止别人对root这个登录名进行暴力破解，我们最好也能把root用户的名称改掉，防止穷举破解。

同样的执行下面的操作就能修改用户名，这个例子里我们把数据库管理员root的名称改为original。

mysql> use mysql;
mysql> update user set user="original" where user="root";
mysql> flush privileges;

四、禁止远程连接mysql

正常的话我们的mysql只是后端的程序来进行连接，所以我们无需开启socket进行监听，那么我们可以关闭mysql的监听功能。

• 在my.cnf文件里，[mysqld]的部分添加skip-networking参数。
• mysqld服务器中参数中添加 –skip-networking 启动参数来使mysql不监听任何TCP/IP连接，增加安全性。如果要进行mysql的管理的话,可以在服务器本地安装一个phpMyadmin来进行管理。

五、使用特定用户访问数据库

我们可以针对每个库，创建特定的账户，给予这些账户针对某个库有 update、select、delete、insert、drop table、create table等权限。这样就能很好的避免某个库被攻破后不牵连其他库了。而当我们设置完善之后，最好就不要在使用root用户来访问数据库了。

六、删除历史记录

执行以上的命令会被shell记录在历史文件里，比如bash会写入用户目录的.bash_history文件，如果这些文件不慎被读， 那么数据库的密码就会泄漏。用户登陆数据库后执行的SQL命令也会被MySQL记录在用户目录的.mysql_history文件里。 如果数据库用户用SQL语句修改了数据库密码，也会因.mysql_history文件而泄漏。所以我们在shell登陆及备份的时候 不要在-p后直接加密码，而是在提示后再输入数据库密码。 另外这两个文件我们也应该不让它记录我们的操作，以防万一。

$ rm .bash_history .mysql_history
$ ln -s /dev/null .bash_history
$ ln -s /dev/null .mysql_history

我自己常用的就是这六个步骤的设置，虽然不是很全，但是也勉强够用咯。