限制危险操作的核心是遵循最小权限原则,只授予用户完成任务所必需的权限,不给多余权限,尤其是避免直接使用root或SUPER权限执行日常操作;严格限制FILE、SUPER、PROCESS、REPLICATION CLIENT/SLAVE、ALTER ROUTINE/CREATE ROUTINE等高危权限;按角色拆分权限,应用只读/读写账号、运维账号、备份账号各自独立且权限精准控制;通过视图脱敏、存储过程封装敏感操作、触发器拦截非法修改实现双重防护;定期审计权限、及时回收过期或冗余权限,并开启日志记录高危语句。
限制危险操作的核心是遵循最小权限原则,只授予用户完成任务所必需的权限,不给多余权限,尤其是避免直接使用 root 或 SUPER 权限执行日常操作。
禁用高危权限组合
以下权限应严格限制,除非明确需要,否则不要授予:
- FILE:允许读写服务器本地文件,可能被用于读取配置、写入 Webshell;生产环境普通账号一律不授
- SUPER:可终止线程、修改全局变量、绕过某些安全限制;运维管理账号按需临时启用,不用时收回
- PROCESS:能看到所有连接和 sql 语句,存在敏感信息泄露风险;监控账号可用 PROCESS,但应用账号禁止
- REPLICATION CLIENT / REPLICATION SLAVE:仅同步账号需要,业务账号无需
- ALTER ROUTINE / CREATE ROUTINE:存储过程相关权限,若无定制函数需求,不开放
按角色拆分权限,不共用账号
不同用途使用独立账号,权限彼此隔离:
- 应用只读账号:GRANT select ON db_name.* TO ‘app_ro’@’10.20.%’; 不给 INSERT/UPDATE/delete
- 应用读写账号:GRANT SELECT, INSERT, UPDATE, DELETE ON db_name.table_prefix_% TO ‘app_rw’@’10.20.%’; 表名加前缀便于范围控制
- 运维账号:限定 IP 段(如 ‘dba’@’192.168.1.%’),授予 ALTER、DROP、CREATE 等 DDL 权限,但不给 FILE 和 SUPER
- 备份账号:仅需 LOCK TABLES + SELECT + RELOAD(用于 FLUSH TABLES WITH READ LOCK),不涉及业务数据变更
用视图和存储过程封装敏感操作
对必须存在的更新逻辑,不开放直接表写入,改用受控接口:
- 创建视图限制字段暴露,例如只展示脱敏后的手机号:CREATE VIEW user_safe AS SELECT id, name, CONCAT(LEFT(mobile,3),’****’,RIGHT(mobile,4)) AS mobile FROM user;
- 将删除、批量更新等操作封装进存储过程,并在内部校验条件(如禁止无 WHERE 的 DELETE),再授权 EXECUTE 权限给业务账号
- 关键表增加触发器拦截非法修改(如禁止 status 字段从 1 改为 0),配合权限控制形成双重防护
定期审计与权限回收
权限不是一劳永逸,需持续跟踪:
- 每月运行 SELECT user, host, account_locked, password_last_changed FROM mysql.user; 检查过期、锁定、长期未改密账号
- 用 SELECT * FROM information_schema.role_table_grants; 或 SHOW GRANTS FOR ‘user’@’host’; 核查实际权限是否超出当前需求
- 员工离职或岗位变动后 24 小时内撤销对应账号;临时调试账号设置自动过期(mysql 5.7+ 支持 PASSword EXPIRE)
- 开启 general_log 或 audit log(需插件)记录高危语句,如包含 DROP、TRUNCATE、GRANT、SET GLOBAL 的操作