MySQL等保三级安全配置实战指南

1. MySQL数据库等保三级安全配置实战指南

作为数据库管理员，我经历过多次等保测评的"洗礼"。每次测评都像一场大考，尤其是MySQL数据库的安全配置环节，稍有疏忽就会被扣分。本文将基于GB/T 22239-2019等保三级要求，结合我在金融行业MySQL运维的实际经验，手把手教你如何合规配置MySQL 5.7/8.0数据库。

1.1 等保三级对MySQL的核心要求

等保三级对数据库安全提出了严苛要求，主要集中在六个方面：

• 身份鉴别：必须实现双因素认证、密码复杂度控制
• 访问控制：遵循最小权限原则，清理默认账户
• 安全审计：完整记录数据库操作，防止日志篡改
• 入侵防范：及时修补漏洞，限制网络访问
• 数据完整性：保障数据在传输和存储中的安全
• 恶意代码防范：防止SQL注入等攻击

我在某次测评中就因为audit_log配置不当被扣分，后来花了三天时间重新梳理审计策略。这份血泪教训促使我整理了这份全面配置指南。

2. 身份鉴别安全配置

2.1 账户与密码策略强化

2.1.1 检查账户唯一性

sql复制-- 检查重复账户
SELECT user, host FROM mysql.user GROUP BY user, host HAVING COUNT(*) > 1;

-- 检查空密码账户（高风险！）
SELECT user, host FROM mysql.user 
WHERE authentication_string = '' OR authentication_string IS NULL;

整改建议：

1. 对发现的空密码账户立即设置密码：

   sql复制ALTER USER '用户名'@'主机' IDENTIFIED BY '复杂密码';
   

2. 合并重复账户，确保每个user@host组合唯一

2.1.2 密码复杂度策略

MySQL 5.7+建议安装validate_password组件：

sql复制-- 安装密码验证组件
INSTALL COMPONENT 'file://component_validate_password';

-- 查看当前策略
SHOW VARIABLES LIKE 'validate_password%';

推荐配置：

sql复制-- 设置密码策略（MySQL 8.0）
SET GLOBAL validate_password.policy = MEDIUM;
SET GLOBAL validate_password.length = 12;
SET GLOBAL validate_password.mixed_case_count = 1;
SET GLOBAL validate_password.number_count = 1;
SET GLOBAL validate_password.special_char_count = 1;

我在银行项目中遇到过密码策略不生效的情况，后来发现是因为没有重启mysqld服务。建议修改后执行FLUSH PRIVILEGES;并重启服务。

2.2 双因素认证实现方案

MySQL原生不支持双因素认证，但可以通过以下方式实现：

方案一：堡垒机集成

1. 禁用MySQL直接外网访问
2. 通过堡垒机跳转，堡垒机配置短信/令牌认证
3. 配置堡垒机审计日志

方案二：PAM认证

sql复制-- 安装PAM插件
INSTALL PLUGIN authentication_pam SONAME 'authentication_pam.so';

-- 创建PAM认证账户
CREATE USER 'admin'@'%' IDENTIFIED WITH authentication_pam;

实施难点：

• 需要操作系统层面配置PAM模块
• 可能影响现有应用连接
• 建议先在测试环境验证

3. 访问控制最佳实践

3.1 权限最小化原则

3.1.1 检查用户权限

sql复制-- 查看所有用户权限
SELECT DISTINCT CONCAT('SHOW GRANTS FOR ''',user,'''@''',host,''';') 
FROM mysql.user WHERE user NOT IN ('mysql.sys','mysql.session');

-- 检查超级权限用户
SELECT user, host FROM mysql.user WHERE Super_priv = 'Y';

权限回收示例：

sql复制-- 移除不必要的全局权限
REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'app_user'@'%';

-- 仅授予必要权限
GRANT SELECT, INSERT, UPDATE ON app_db.* TO 'app_user'@'192.168.1.%';

3.2 默认账户处理

3.2.1 安全处理root账户

sql复制-- 重命名root账户（MySQL 8.0+）
RENAME USER 'root'@'localhost' TO 'dba_admin'@'localhost';

-- 限制root远程访问
DELETE FROM mysql.user WHERE User='root' AND Host='%';
FLUSH PRIVILEGES;

3.2.2 清理测试账户

sql复制-- 锁定不用的账户
ALTER USER 'test'@'%' ACCOUNT LOCK;

-- 删除匿名账户
DELETE FROM mysql.user WHERE User='';

某次安全扫描发现我们有个开发测试账户没删除，差点造成数据泄露。现在我建立了账户生命周期管理制度，定期review数据库账户。

4. 安全审计配置详解

4.1 启用基础审计日志

4.1.1 通用查询日志

sql复制-- 开启通用日志
SET GLOBAL general_log = 'ON';
SET GLOBAL general_log_file = '/var/log/mysql/mysql-general.log';

-- 设置日志格式
SET GLOBAL log_output = 'FILE';

注意事项：

• 日志文件需设置仅允许mysql用户读写
• 建议配置logrotate定期轮转
• 生产环境可能影响性能，需要评估

4.1.2 二进制日志

sql复制-- 启用binlog
SET GLOBAL log_bin = ON;
SET GLOBAL binlog_format = 'ROW';
SET GLOBAL expire_logs_days = 180;

4.2 MySQL Enterprise Audit

如果使用MySQL企业版，推荐配置官方审计插件：

sql复制-- 安装审计插件
INSTALL PLUGIN audit_log SONAME 'audit_log.so';

-- 基本配置
SET GLOBAL audit_log_format = 'JSON';
SET GLOBAL audit_log_policy = 'ALL';

审计策略示例：

ini复制[mysqld]
audit_log_exclude_accounts=monitor@localhost
audit_log_include_commands=ALTER,CREATE,DROP,GRANT

5. 入侵防范关键配置

5.1 网络访问控制

5.1.1 限制连接来源

sql复制-- 只允许特定IP访问
CREATE USER 'app_user'@'192.168.1.100' IDENTIFIED BY 'password';

-- 禁用远程root登录
DELETE FROM mysql.user WHERE User='root' AND Host='%';

5.1.2 安全监听配置

ini复制[mysqld]
bind-address = 内网IP
skip_name_resolve = ON

5.2 补丁与漏洞管理

定期检查MySQL漏洞：

bash复制# 查看当前版本
mysql -V

# 检查CVE漏洞
grep -i mysql /var/log/apt/history.log

补丁策略：

• 测试环境先验证补丁
• 使用官方YUM/APT源
• 制定季度更新计划

6. 一键巡检脚本优化版

基于多年测评经验，我优化了巡检脚本：

bash复制#!/bin/bash
# MySQL等保三级深度巡检脚本
# 版本：2023.12

check_auth() {
  mysql -e "SELECT @@version;"
  mysql -e "SHOW VARIABLES LIKE 'validate_password%';"
  mysql -e "SELECT user,host,plugin FROM mysql.user;"
}

check_privileges() {
  mysql -e "SELECT * FROM mysql.user WHERE Super_priv='Y'\G"
  mysql -e "SELECT * FROM mysql.db WHERE Db='mysql'\G"
}

check_audit() {
  mysql -e "SHOW VARIABLES LIKE '%log%';"
  ls -l /var/log/mysql/
}

# 执行所有检查
check_auth > auth_check.log
check_privileges > priv_check.log

7. 高频问题解决方案

7.1 密码策略不生效

现象：validate_password已安装但策略无效

解决步骤：

1. 检查插件状态：

   sql复制SELECT PLUGIN_NAME, PLUGIN_STATUS 
   FROM INFORMATION_SCHEMA.PLUGINS 
   WHERE PLUGIN_NAME LIKE 'validate%';
   

2. 确认没有其他组件冲突
3. 重启MySQL服务

7.2 审计日志过大

优化方案：

1. 设置日志轮转：

   ini复制[mysqld]
   expire_logs_days = 7
   max_binlog_size = 100M
   

2. 使用专用日志服务器
3. 考虑审计采样策略

8. MySQL 5.7与8.0安全差异

8.1 认证插件变化

5.7默认：mysql_native_password
8.0默认：caching_sha2_password

兼容方案：

sql复制-- 8.0兼容旧客户端
CREATE USER 'legacy_app'@'%' IDENTIFIED WITH mysql_native_password BY 'password';

8.2 角色管理增强

MySQL 8.0支持RBAC：

sql复制-- 创建角色
CREATE ROLE 'auditor', 'developer';

-- 分配权限
GRANT SELECT ON *.* TO 'auditor';
GRANT ALL ON app_db.* TO 'developer';

-- 分配角色
GRANT 'auditor' TO 'user1'@'localhost';

经过多次等保测评实践，我总结出MySQL安全配置的三个要点：1) 权限最小化是基础；2) 审计日志要完整；3) 定期检查不松懈。建议每季度进行一次安全自查，把等保要求转化为日常运维规范。