Ubuntu MariaDB如何进行安全设置

Ubuntu系统下MariaDB安全设置实战指南

1. 基础环境准备

首先确保Ubuntu系统及软件包为最新版本，避免已知漏洞：

sudo apt update && sudo apt upgrade -y

安装MariaDB服务器（默认源为Ubuntu官方仓库，版本较旧时可添加MariaDB官方源）：

sudo apt install mariadb-server -y

2. 运行安全配置向导

使用mysql_secure_installation脚本完成核心安全设置，该脚本会引导完成以下关键操作：

设置root密码：若未设置，输入强密码（包含大小写字母、数字、特殊字符，长度≥12位）；
删除匿名用户：执行DELETE FROM mysql.user WHERE User=''，防止未认证访问；
禁止root远程登录：执行UPDATE mysql.user SET Host='localhost' WHERE User='root'，仅允许本地登录；
删除测试数据库：执行DROP DATABASE IF EXISTS test，避免未授权测试；
重新加载权限：执行FLUSH PRIVILEGES，使更改立即生效。
全程按提示输入Y确认：

sudo mysql_secure_installation

3. 配置文件优化

编辑MariaDB主配置文件/etc/mysql/mariadb.conf.d/50-server.cnf，调整以下参数提升安全性：

限制绑定地址：将bind-address = 127.0.0.1保留（默认仅本地访问），若需远程访问需谨慎修改为0.0.0.0（后续需配合防火墙限制IP）；
禁用本地文件访问：添加local-infile = 0，防止恶意用户通过LOAD DATA LOCAL INFILE读取服务器文件；
调整最大连接数：根据服务器性能设置max_connections（如max_connections = 500），避免资源耗尽。
修改后重启服务使配置生效：

sudo systemctl restart mariadb

4. 用户权限精细化管理

创建专用用户：避免使用root进行日常操作，为用户分配最小必要权限。例如，创建app_user仅能从localhost访问mydatabase：

CREATE USER 'app_user'@'localhost' IDENTIFIED BY 'StrongPassword123!'; GRANT SELECT, INSERT, UPDATE ON mydatabase.* TO 'app_user'@'localhost'; FLUSH PRIVILEGES;

撤销多余权限：定期检查用户权限，使用REVOKE命令撤销不必要的权限（如GRANT ALL PRIVILEGES授予的过度权限）。

限制远程访问：若需远程访问，仅为特定IP授权（如192.168.1.100），而非%（所有IP）：

CREATE USER 'remote_user'@'192.168.1.100' IDENTIFIED BY 'RemotePass456!'; GRANT SELECT, INSERT ON mydatabase.* TO 'remote_user'@'192.168.1.100'; FLUSH PRIVILEGES;

5. 启用SSL/TLS加密传输

配置SSL加密可防止数据在传输过程中被窃取或篡改：

生成证书与密钥：MariaDB自带CA工具，生成自签名证书（生产环境建议使用权威CA签发的证书）：

sudo mkdir -p /etc/mysql/ssl sudo openssl genrsa 2048 > /etc/mysql/ssl/server-key.pem sudo openssl req -new -x509 -nodes -days 365 -key /etc/mysql/ssl/server-key.pem -out /etc/mysql/ssl/server-cert.pem sudo openssl req -new -nodes -days 365 -key /etc/mysql/ssl/server-key.pem -out /etc/mysql/ssl/client-key.pem sudo openssl x509 -req -in /etc/mysql/ssl/client-key.pem -days 365 -CA /etc/mysql/ssl/server-cert.pem -CAkey /etc/mysql/ssl/server-key.pem -set_serial 01 -out /etc/mysql/ssl/client-cert.pem

配置MariaDB启用SSL：编辑50-server.cnf，添加以下内容：

[mysqld] ssl-ca=/etc/mysql/ssl/server-cert.pem ssl-cert=/etc/mysql/ssl/server-cert.pem ssl-key=/etc/mysql/ssl/server-key.pem require_secure_transport=ON # 强制所有连接使用SSL

验证SSL连接：使用STATUS;命令查看SSL状态（网络登录时需指定证书路径）：

mysql -u root -p --protocol=tcp --ssl-ca=/etc/mysql/ssl/server-cert.pem SHOW STATUS LIKE 'Ssl_cipher'; # 应显示加密套件（如AES256-SHA）

6. 防火墙与网络隔离

使用ufw（Ubuntu默认防火墙）限制访问，仅允许必要端口（如SSH的22端口、MariaDB的3306端口）：

安装并启用ufw：

sudo apt install ufw -y sudo ufw enable

配置规则：允许SSH连接（确保管理通道安全），仅允许特定IP访问MariaDB（如公司IP192.168.1.100）：

sudo ufw allow ssh sudo ufw allow from 192.168.1.100 to any port 3306 sudo ufw default deny incoming # 默认拒绝所有入站连接 sudo ufw default allow outgoing # 允许所有出站连接

检查规则：
```
sudo ufw status verbose 
```

7. 安全审计与监控

启用审计日志可追踪数据库操作，便于事后溯源：

编辑配置文件：在50-server.cnf中添加审计插件配置：

[mysqld] plugin_load_add = server_audit server_audit_logging = ON server_audit_output_type = FILE server_audit_file_path = /var/log/mysql/server_audit.log server_audit_file_rotate_size = 1G # 单个日志文件最大1G server_audit_file_rotations = 10 # 保留10个日志文件

重启服务：
```
sudo systemctl restart mariadb 
```
验证审计日志：查看日志是否记录了连接、查询等操作（需sudo权限）：
```
sudo tail -f /var/log/mysql/server_audit.log 
```

8. 定期维护与更新

更新MariaDB：定期运行sudo apt update && sudo apt upgrade mariadb-server，安装安全补丁；

备份数据：使用mariabackup（MariaDB官方工具）进行物理备份，确保数据可恢复：

sudo apt install mariadb-backup -y sudo mariabackup --backup --target-dir=/var/backups/mariadb/$(date +%F) --user=root --password='YourRootPassword'

监控日志：定期检查/var/log/mysql/error.log（错误日志）和/var/log/syslog（系统日志），发现异常（如暴力破解尝试）及时处理。

通过以上步骤，可全面加固Ubuntu系统上MariaDB的安全性，覆盖从基础配置到高级防护的多个层面。需根据实际业务需求调整参数（如远程访问范围、SSL证书类型），并保持定期维护以应对新的安全威胁。