必须先执行select User,Host FROM mysql.user WHERE User = ”确认匿名用户存在,再delete FROM mysql.user WHERE User = ”并立即FLUSH PRIVILEGES;若无结果则无需删除,且需排查root空密码等更常见隐患。
查得到才算真存在:先确认匿名用户是否实际存活
很多人一上来就删,结果发现 SELECT User,Host FROM mysql.user; 里压根没空用户名——那删个寂寞。匿名用户的本质是 User = ''(空字符串),不是 NULL,也不是 'anonymous'。MySQL 5.7+ 默认初始化时可能留一个 ''@'localhost',但 MySQL 8.0+ 安装脚本已默认跳过这步;如果你是离线安装或从旧版本升级而来,才更可能遇到。
- 执行
SELECT Host, User FROM mysql.user WHERE User = '';—— 只查空字符串,不查
IS NULL,避免误判 - 如果返回空结果,说明没有匿名用户,后续删除操作可跳过
- 注意:有些运维脚本会把
''@'127.0.0.1'和''@'localhost'当成两个,其实它们都算匿名,都要删
删掉它,但别只删一半:DELETE + FLUSH 缺一不可
只执行 DELETE FROM mysql.user WHERE User = ''; 是无效的——MySQL 不会自动重载权限缓存。你立刻再用 mysql -u '' -h localhost 尝试连接,大概率还能进(尤其在未重启服务的情况下)。
- 必须紧跟着执行
FLUSH PRIVILEGES;,强制 MySQL 重新读取
mysql.user表 - 不要用
DROP USER ''@'localhost':该语法在 MySQL 5.7 中不支持空用户名,会报错Error 1396 (HY000): Operation DROP USER failed - 删除后建议立即验证:再次运行
SELECT User,Host FROM mysql.user WHERE User = '';,确保返回空集
root 密码为空?匿名用户可能只是“替罪羊”
很多所谓“匿名登录成功”,其实是 root 用户密码为空导致的:当你执行 mysql -u root 不输密码就进了,误以为是匿名用户在作祟。这种情况比真正匿名用户更常见,也更危险。
- 检查 root 是否无密码:
SELECT User,Host,authentication_string FROM mysql.user WHERE User = 'root';,若
authentication_string为空或为*(MySQL 5.7),说明密码未设 - 设密码(MySQL 5.7):
ALTER USER 'root'@'localhost' IDENTIFIED BY 'YourStrongPass123!'; - 设密码(MySQL 8.0+):
ALTER USER 'root'@'localhost' IDENTIFIED WITH caching_sha2_password BY 'YourStrongPass123!'; - 设完务必再执行
FLUSH PRIVILEGES;
离线安装后最容易漏的三件事
离线部署常跳过初始化安全脚本(如 mysql_secure_installation),导致一堆隐患埋着不动,直到被扫描器打中。
- test 数据库没删:执行
DROP DATABASE IF EXISTS test;,并删掉对应权限记录:
DELETE FROM mysql.db WHERE Db = 'test' OR Db = 'test\_%'; - host 限制太宽:检查
root是否只允许'localhost',而非'%';若不需要远程管理,直接删掉所有非localhost的 root 记录 - 没关 skip-grant-tables:检查配置文件
/etc/my.cnf或/etc/mysql/my.cnf里有没有残留的[mysqld]下的skip-grant-tables——有它等于完全放弃权限校验
真正禁用匿名用户,不是执行一条 DELETE 就完事;它是权限加固链条上最基础、却最容易被绕过的环节。只要 FLUSH PRIVILEGES 没跑,或者 root 还裸奔,删了匿名用户也白删。