MySQL數據庫生產環境安全規范

一、MySQL服務器安全規范
1. 禁止應用直連DB，一般通過代理訪問
2. 禁止DB公網訪問。
3. 禁止生產和辦公互通，需生產環境和辦公環境隔離。
4. Linux系統初始化安全選項:
    1）、一些alias，寫入/etc/profile，防止誤操作
            alias c='clear'
            alias cp='cp -i'
            alias l.='ls -d .* --color=auto'
            alias ll='ls -l --color=auto'
            alias ls='ls --color=auto'
            alias mv='mv -i'
            alias rm='rm -i'
            alias MySQL='MySQL -U'
            其中MySQL －U，防止update和delete沒有指定條件，拒絕操作。
    2）、刪除linux操作日志信息、MySQL操作歷史記錄，避免被拖庫。
            rm .bash_history .MySQL_history
            ln -s /dev/null .bash_history
            ln -s /dev/null .MySQL_history
    3）、避免"Too many open files"
            OS限制：cat /etc/security/limits.conf,MySQL用戶能夠打開65535個文件描述符
            MySQL soft nofile 65535
            MySQL hard nofile 65535
            my.cnf參數修改：
            open_files_limit = 65535
            innodb_open_files=65535
5. MySQL初始化配置安全選項：
    1）、合理規劃目錄結構，日志目錄順序寫建議機械盤（binlog/slowlog/relaylog），數據目錄隨機寫建議ssd。
    2）、MySQL相關目錄設置專用MySQL組和用戶，MySQL后臺啟動方式不能以root來啟動，比如通過MySQL用戶 。
    3）、設置bind-address為內網本機IP。
    4）、修改MySQL默認服務端口號，不推薦使用3306，不同業務設置不同的端口號。
    5）、通過修改max_connections和max_user_connections來控制最大連接數，過載保護。
    6）、啟用safe-user-create，用戶不能用GRANT語句創建新用戶，除非用戶有MySQL.user表的INSERT權限。
    7）、禁止local-infile=1，打開load data local file權限，避免數據泄漏和黑客攻擊。
    8）、禁止skip-grant-tables啟動，防止MySQL繞過權限系統
    9）、配置加上skip-name-resolve，防止主機名不被解析。
    10）、禁止skip-networking，其它機器不能使用tcp/ip連接。
    11）、禁止symbolic-links=1，關閉軟鏈接功能。

二、MySQL帳號管理安全策略和MySQL權限相關的系統表：
1. MySQL.USER表
2. MySQL.DB表
3. MySQL.TABLES_PRIV表
4. MySQL.COLUMNS_PRIV表
自上而下，逐級驗證，逐級進行賬戶權限的粒度控制
MySQL初始化：
1. 刪除線上密碼長度小于16的帳號。
2. 刪除非root賬戶
3. 刪除非localhost和127.0.0.1賬戶。
4. 刪除test數據庫
5. 賬號區分：監控帳號、管理帳號、復制帳號、備份帳號、應用帳號
    1）、監控帳號（localhost和127.0.0.1）：
        GRANT SELECT,PROCESS,REPLICATION CLIENT
    2）、備份帳號（localhost和127.0.0.1）：
        GRANT SELECT,LOCK TABLES,RELOAD
    3）、復制帳號（對應主庫ip）：
        GRANT REPLICATION SLAVE,REPLICATION CLIENT
    4）、管理帳號（對應代理ip）：
        GRANT ALL PRIVILEGES
    5）、root帳號
        root密碼采用強密碼策略，至少32位隨機密碼，推薦使用pwgen和makepasswd來生成32位隨機密碼，包含大小寫、數字、字母、特殊字符。
        root帳號只授權localhost和127.0.0.1，不得授予%權限。
        root帳號建議每3個月修改一次，不同實例，設置不同的root密碼。
    6）、應用帳號
        a. 應用帳號不得擁有Super、Create、Drop、File，Grant，Reload，Shutdown，Process等權限。
        b. 最小權限原則：select,insert,update,delete權限，禁止應用帳號權限設置為all。
        c. 應用帳號不得擁有系統數據庫（MySQL）的任何權限，不能使用*.*來授權。
        d. 應用帳號只給所屬應用的數據庫授權，只給其所屬應用的IP或代理授權。
        e. MySQL從庫必須添加read-only,只給select權限，嚴禁all，導致只讀失效。
        f. 應用帳號密碼策略同root，建議每3個月修改一次。

三、MySQL數據安全策略
1. 物理（xtrabackup）和邏輯（MySQLdump）相結合的備份策略，全備+增量+異地。
2. 數據庫備份文件定期回放，定期驗證備份的可恢復性。
3. 針對重要業務系統建立delay數據庫或者采取Linux初始化時設置lvm策略，可快照閃回。
4. 假設有Binlog Server，遇到緊急情況可數據恢復。

附：MySQL命令行提示配置
MySQL -uroot -p123456 --prompt="MySQL-\\v->[\\r:\\m:\\s] [\\u@\\h:\\d] >"