mysql复制安全需配置ssl加密、专用复制账户和防火墙限制。首先在主从库的my.cnf中配置ssl-ca、ssl-cert和ssl-key启用SSL,创建用户时使用require SSL确保传输加密;遵循最小权限原则,创建仅允许从库IP访问的复制用户并授予REPLICATION SLAVE权限;通过iptables或云安全组限制主库3306端口仅响应从库IP;启用错误日志与慢查询日志,结合监控工具检测异常行为;最后执行SHOW SLAVE STATUS确认Slave_SSL_Allowed为Yes以验证配置生效,形成多层防护体系。
MySQL复制安全策略的配置核心在于数据传输加密、用户权限控制和网络访问限制。直接暴露主从数据库在公网或使用弱密码极易导致数据泄露,必须通过SSL加密、专用复制账户和防火墙规则来加固。
启用SSL加密主从通信
确保主库和从库都支持SSL,并为复制连接强制使用加密通道。
• 在主库my.cnf中添加:
[mysqld]
ssl-ca=ca.pem
ssl-cert=server-cert.pem
ssl-key=server-key.pem
从库配置类似,同时创建复制用户时指定REQUIRE SSL:
CREATE USER ‘repl’@’%’ IDENTIFIED BY ‘StrongPass123!’ REQUIRE SSL;
最小权限原则配置复制账号
不要使用root或高权限账户进行复制,应创建专用用户并仅授予必要权限。
• 执行以下命令创建受限用户:CREATE USER ‘repl’@’slave_ip’ IDENTIFIED BY ‘SecurePassword!’;
GRANT REPLICATION SLAVE ON *.* TO ‘repl’@’slave_ip’;
FLUSH PRIVILEGES;
替换slave_ip为实际从库IP,避免使用%通配符防止任意主机接入。
结合防火墙限制访问源
即使有账户认证,也应通过系统防火墙进一步缩小可连接范围。
• 使用iptables限制仅允许从库IP连接主库3306端口:
iptables -A input -p tcp –dport 3306 -s slave_ip -j ACCEPT
iptables -A INPUT -p tcp –dport 3306 -j DROP
若使用云服务器,配置安全组规则实现相同效果。
定期检查与日志监控
开启通用查询日志或使用Performance Schema跟踪异常登录尝试。
• 启用慢查询和错误日志:
[mysqld]
log-Error=/var/log/mysql/error.log
slow-query-log=ON
配合外部监控工具(如prometheus + MySQL Exporter)实时告警异常行为。
基本上就这些。关键点是不依赖单一防护手段,而是组合SSL、权限隔离和网络控制形成纵深防御。配置完成后可用”SHOW SLAVE STATUS”验证SSL是否生效(查看Slave_SSL_Allowed字段)。