必须重置root密码并禁用空密码登录，将认证插件改为mysql_native_password；禁止root远程访问，创建最小权限专用账户；禁用secure_file_priv、local_infile和symbolic-links；启用错误日志审计并限制错误信息泄露。

修改默认 root 密码并禁用空密码登录

MySQL 安装后默认 root 用户常为空密码或仅本地访问，但若未显式设置，极易被暴力破解或本地提权。必须在初始化后立即重置密码，并确认认证方式不为 auth_socket（Ubuntu/Debian 默认），否则 SET PASSWORD 会静默失败。

• 连接时强制使用密码：

  mysql -u root -p

• 进入后检查当前认证插件：

  SELECT user, host, plugin FROM mysql.user WHERE user = 'root';

• 若 plugin 是 auth_socket，需先切为 mysql_native_password：

  ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'StrongPass123!';

• 刷新权限：

  FLUSH PRIVILEGES;

限制 root 远程访问并创建最小权限专用账户

生产环境绝不能开放 root@'%'，也不建议长期使用 root@localhost 执行业务操作。应分离管理账户与应用账户，按需授权。

• 删除任意主机的 root 记录（如果存在）：

  DROP USER 'root'@'%';

• 新建应用账户（如用于 WordPress）：

  CREATE USER 'wp_app'@'localhost' IDENTIFIED BY 'AppPass456!';

• 仅授予必要库表权限：

  GRANT SELECT, INSERT, UPDATE ON `wordpress`.* TO 'wp_app'@'localhost';

• 禁止该用户拥有 GRANT OPTION 或全局权限，避免权限扩散

关闭危险配置项：secure_file_priv、local_infile、symbolic-links

这些选项一旦开启，可能成为文件读写类漏洞的入口，尤其在 Web 应用存在 SQL 注入时风险极高。

• 检查当前值：

  SHOW VARIABLES LIKE 'secure_file_priv';

  若返回非 NULL 或空字符串，说明允许导入导出文件
• 在 my.cnf 的 [mysqld] 段强制禁用：

  secure_file_priv = ""
  local_infile = OFF
  symbolic_links = OFF

• 重启 MySQL 后验证：

  SELECT @@local_infile;

  应返回 OFF
• 注意：secure_file_priv = "" 表示完全禁用 LOAD DATA INFILE 和 SELECT ... INTO OUTFILE，比设为 /tmp 更安全

启用错误日志审计并限制错误信息泄露

MySQL 默认错误日志不记录 SQL 语句本身，但客户端连接失败、权限拒绝等事件仍可暴露账户名、IP、甚至部分查询结构。Web 错误页若直接输出 MySQL 报错（如 Access denied for user...），等于帮攻击者做信息收集。

• 确保 log_error 已启用（默认开启），路径通常为 /var/log/mysql/error.log
• 禁用客户端显示详细错误：

  SET GLOBAL log_warnings = 2;

  （MySQL 5.7+ 支持更细粒度警告日志）
• 在应用层捕获 mysqli_connect_error() 或 mysql.connector.Error，统一返回模糊提示，例如“服务暂时不可用”，而非原始 MySQL 错误消息
• 定期轮转日志，防止磁盘占满：logrotate 配合 mysqladmin flush-logs

实际部署中，最常被跳过的一步是验证 plugin 类型和 secure_file_priv 状态——它们不会报错，但会让前面所有密码和权限操作形同虚设。

# mysql  # word  # wordpress  # app  # access  # ubuntu  # sql  # NULL  # for  # select  # Error  # 字符串  # var  # 事件  # debian 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Mybatis 中的insertOrUpdate操作  惠州网站建设制作推广,惠州市华视达文化传媒有限公司怎么样？  为什么要用作用域操作符_php中访问类常量与静态属性的优势【解答】  Python函数文档自动校验_规范解析【教程】  PHP 500报错的快速解决方法  如何在万网开始建站？分步指南解析  如何在IIS中新建站点并配置端口与IP地址？  合肥制作网站的公司有哪些,合肥聚美网络科技有限公司介绍？  Laravel的路由模型绑定怎么用_Laravel Route Model Binding简化控制器逻辑  UC浏览器如何切换小说阅读源_UC浏览器阅读源切换【方法】  Windows Hello人脸识别突然无法使用  如何在景安服务器上快速搭建个人网站？  Laravel如何清理系统缓存命令_Laravel清除路由配置及视图缓存的方法【总结】  如何在阿里云虚拟机上搭建网站？步骤解析与避坑指南  JavaScript数据类型有哪些_如何准确判断一个变量的类型  如何快速搭建二级域名独立网站？  Laravel storage目录权限问题_Laravel文件写入权限设置  Laravel如何实现本地化和多语言支持？（i18n教程）  Laravel怎么使用Markdown渲染文档_Laravel将Markdown内容转HTML页面展示【实战】  Laravel如何实现邮件验证激活账户_Laravel内置MustVerifyEmail接口配置【步骤】  android nfc常用标签读取总结  如何在 Telegram Web View（iOS）中防止键盘遮挡底部输入框  mc皮肤壁纸制作器,苹果平板怎么设置自己想要的壁纸我的世界？  装修招标网站设计制作流程,装修招标流程？  郑州企业网站制作公司,郑州招聘网站有哪些？  教你用AI将一段旋律扩展成一首完整的曲子  Laravel如何发送系统通知？（Notification渠道示例）  Laravel中间件起什么作用_Laravel Middleware请求生命周期与自定义详解  js实现点击每个li节点，都弹出其文本值及修改  什么是javascript作用域_全局和局部作用域有什么区别？  如何在Windows环境下新建FTP站点并设置权限？  JavaScript如何实现继承_有哪些常用方法  Windows10怎样连接蓝牙设备_Windows10蓝牙连接步骤【教程】  ,在苏州找工作，上哪个网站比较好？  Laravel Session怎么存储_Laravel Session驱动配置详解  js实现获取鼠标当前的位置  Laravel怎么实现前端Toast弹窗提示_Laravel Session闪存数据Flash传递给前端【方法】  Laravel Eloquent关联是什么_Laravel模型一对一与一对多关系精讲  黑客如何通过漏洞一步步攻陷网站服务器？  进行网站优化必须要坚持的四大原则  JS中对数组元素进行增删改移的方法总结  Laravel怎么实现API接口鉴权_Laravel Sanctum令牌生成与请求验证【教程】  html5怎么画眼睛_HT5用Canvas或SVG画眼球瞳孔加JS控制动态【绘制】  Swift开发中switch语句值绑定模式  如何快速配置高效服务器建站软件？  如何用狗爹虚拟主机快速搭建网站？  详解jQuery中的事件  php静态变量怎么调试_php静态变量作用域调试技巧【解答】  如何挑选高效建站主机与优质域名？  微博html5版本怎么弄发超话_超话进入入口及发帖格式要求【教程】