一、Mysql伺服器安全規範

1. 禁止應用直連DB，一般通過代理訪問

2. 禁止DB公網訪問。

3. 禁止生產和辦公互通，需生產環境和辦公環境隔離。

4. Linux系統初始化安全選項:

    1）、一些alias，寫入/etc/profile，防止誤操作

            alias c='clear'

            alias cp='cp -i'

            alias l.='ls -d .* --color=auto'

            alias ll='ls -l --color=auto'

            alias ls='ls --color=auto'

            alias mv='mv -i'

            alias rm='rm -i'

            alias mysql='mysql -U'

            其中mysql －U，防止update和delete沒有指定條件，拒絕操作。

    2）、刪除linux操作日誌資訊、mysql操作歷史記錄，避免被拖庫。

            rm .bash_history .mysql_history

            ln -s /dev/null .bash_history

            ln -s /dev/null .mysql_history

    3）、避免"Too many open files"

            OS限制：cat /etc/security/limits.conf,mysql使用者能夠開啟65535個檔案描述符

            mysql soft nofile 65535

            mysql hard nofile 65535

            my.cnf引數修改：

            open_files_limit = 65535

            innodb_open_files=65535

5. Mysql初始化配置安全選項：

    1）、合理規劃目錄結構，日誌目錄順序寫建議機械盤（binlog/slowlog/relaylog），資料目錄隨機寫建議ssd。

    2）、Mysql相關目錄設定專用mysql組和使用者，Mysql後臺啟動方式不能以root來啟動，比如通過mysql使用者 。

    3）、設定bind-address為內網本機IP。

    4）、修改Mysql預設服務埠號，不推薦使用3306，不同業務設定不同的埠號。

    5）、通過修改max_connections和max_user_connections來控制最大連線數，過載保護。

    6）、啟用safe-user-create，使用者不能用GRANT語句建立新使用者，除非使用者有mysql.user表的INSERT許可權。

    7）、禁止local-infile=1，開啟load data local file許可權，避免資料洩漏和黑客攻擊。

    8）、禁止skip-grant-tables啟動，防止mysql繞過許可權系統

    9）、配置加上skip-name-resolve，防止主機名不被解析。

    10）、禁止skip-networking，其它機器不能使用tcp/ip連線。

    11）、禁止symbolic-links=1，關閉軟連結功能。

二、Mysql帳號管理安全策略和Mysql許可權相關的系統表：

1. mysql.USER表

2. mysql.DB表

3. mysql.TABLES_PRIV表

4. mysql.COLUMNS_PRIV表

自上而下，逐級驗證，逐級進行賬戶許可權的粒度控制

Mysql初始化：

1. 刪除線上密碼長度小於16的帳號。

2. 刪除非root賬戶

3. 刪除非localhost和127.0.0.1賬戶。

4. 刪除test資料庫

5. 賬號區分：監控帳號、管理帳號、複製帳號、備份帳號、應用帳號

    1）、監控帳號（localhost和127.0.0.1）：

        GRANT SELECT,PROCESS,REPLICATION CLIENT

    2）、備份帳號（localhost和127.0.0.1）：

        GRANT SELECT,LOCK TABLES,RELOAD

    3）、複製帳號（對應主庫ip）：

        GRANT REPLICATION SLAVE,REPLICATION CLIENT

    4）、管理帳號（對應代理ip）：

        GRANT ALL PRIVILEGES

    5）、root帳號

        root密碼採用強密碼策略，至少32位隨機密碼，推薦使用pwgen和makepasswd來生成32位隨機密碼，包含大小寫、數字、字母、特殊字元。

        root帳號只授權localhost和127.0.0.1，不得授予%許可權。

        root帳號建議每3個月修改一次，不同例項，設定不同的root密碼。

    6）、應用帳號

        a. 應用帳號不得擁有Super、Create、Drop、File，Grant，Reload，Shutdown，Process等許可權。

        b. 最小許可權原則：select,insert,update,delete許可權，禁止應用帳號許可權設定為all。

        c. 應用帳號不得擁有系統資料庫（mysql）的任何許可權，不能使用*.*來授權。

        d. 應用帳號只給所屬應用的資料庫授權，只給其所屬應用的IP或代理授權。

        e. mysql從庫必須新增read-only,只給select許可權，嚴禁all，導致只讀失效。

        f. 應用帳號密碼策略同root，建議每3個月修改一次。

三、Mysql資料安全策略

1. 物理（xtrabackup）和邏輯（mysqldump）相結合的備份策略，全備+增量+異地。

2. 資料庫備份檔案定期回放，定期驗證備份的可恢復性。

3. 針對重要業務系統建立delay資料庫或者採取Linux初始化時設定lvm策略，可快照閃回。

4. 假設Binlog Server，遇到緊急情況可資料恢復。

PS：Mysql命令列提示配置

mysql -uroot -p123456 --prompt="Mysql-\\v->[\\r:\\m:\\s] [\\[email protected]\\h:\\d] >"