mysql 5.6 安全_MySQL 5.6:安全性与易用性之间的平衡点

【IT168 专稿】MySQL 5.6在安全性与易用性的平衡方面确实堪称改变游戏规则的杰作。在MySQL 5.6版本之前，MySQL的默认安装机制始终坚持创建一个未受密码保护的“root ”账户，且禁止任何匿名用户访问本地主机(但这样仍然无法阻止用户实施DoS攻击或是摧毁MySQL服务器)。

不过在早期版本中，我们仍然能够想办法解决这些问题。举例来说，Debian/Ubuntu安装脚本会以交互方式建议我们为缺乏保护机制的root账户设定密码。不过大部分用户仍然习惯于通过不设密码的root账户进行MySQL安装。

这一老大难问题终于在全新MySQL 5.6版本的安装机制中得到解决!在向CentOS6环境下安装官方RPM版本时，系统返回以下内容：

A RANDOM PASSWORD HAS BEENSETFORTHE MySQL root USER !

You will find that password in'/root/.mysql_secret'.You must change that passwordonyour first connect,

no other statement but'SET PASSWORD' will be accepted.See the manualforthe semantics of the'password expired' flag.Also, the accountforthe anonymous user has been removed.

In addition, you can run:/usr/bin/mysql_secure_installation

which will also give you theoptionof removing the test database.

Thisisstrongly recommendedforproduction servers.

由此可见，新的安装机制会在默认情况下为root账户设定一个随机密码，而不再像过去那样将密码内容设置为空白。更令人惊喜的是，密码内容并非保存在root目录下的my.cnf文件中，而是被保存在被隔离的mysql_secret文件处，这样一来大家必须正确输入密码才能完成与服务器的首次连接——由于密码内容随机，我们根本不必担心给恶意人士留下可乘之机。另外，在修改随机密码之前，我们无法对MySQL Server进行任何操作。

[root@centos6 ~]# mysql-u root-p8AkXyPUs

Warning: Using a passwordonthe command line interface can be insecure.

Welcometothe MySQL monitor.  Commandsendwith;or\g.

Your MySQL connection idis3Server version:5.6.13Copyright (c)2000,2013, Oracleand/orits affiliates. All rights reserved.

Oracleisa registered trademark of Oracle Corporationand/orits

affiliates. Other names may be trademarks of their respective

owners.

Type'help;' or '\h' for help. Type '\c' to clear the current input statement.mysql>show processlist->;ERROR1820(HY000): You mustSETPASSWORD before executing this statement

如上所示，MySQL会拒绝所有操作——甚至禁止用户访问任何数据库内容，直至大家利用SET PASSWORD命令修改密码内容。

这时大家需要运行以下命令为root账户设定一个新密码：

mysql>setpassword=password('MySecurePassword');Query OK,0rows affected (0.00sec)

当然，大家也可以采用过去那种传统机制将账户密码移除(我在自己笔记本电脑上VirtualBox中运行的MySQL就没有设置密码，这是因为我只通过它进行测试)。

mysql>setpassword='';Query OK,0rows affected (0.00sec)

好了，至少在RPM安装机制当中，MySQL的安全性得到进一步增强，但却也给用户在安装之后的使用方面带来一点点不便。我希望这样的变动能切实提升安全效果，同时也不至于因为安装流程过于复杂而吓跑太多潜在用户。