4.4.4 mysql_secure_installation-提高 MySQL 安装安全性
该程序使您可以通过以下方式提高 MySQL 安装的安全性:
-
您可以为
root
个帐户设置密码。 -
您可以删除可从 localhost 外部访问的
root
个帐户。 -
您可以删除匿名用户帐户。
-
您可以删除
test
数据库(默认情况下,所有用户,甚至匿名用户都可以访问该数据库)和特权,该特权允许任何人访问名称以test_
开头的数据库。
mysql_secure_installation可帮助您实施与第 2.10.4 节“保护初始 MySQL 帐户”中所述的安全建议类似的安全建议。
正常用法是连接到本地 MySQL 服务器。调用不带参数的mysql_secure_installation:
shell> mysql_secure_installation
执行后,mysql_secure_installation提示您确定要执行的操作。
validate_password
插件可用于密码强度检查。如果未安装该插件,则mysql_secure_installation提示用户是否安装它。启用后,将使用该插件检查以后 Importing 的所有密码。
大多数常用的 MySQLClient 端选项(例如--host和--port)都可以在命令行和选项文件中使用。例如,要使用端口 3307 通过 IPv6 连接到本地服务器,请使用以下命令:
shell> mysql_secure_installation --host=::1 --port=3307
mysql_secure_installation支持以下选项,可以在命令行或选项文件的[mysql_secure_installation]
和[client]
组中指定这些选项。有关 MySQL 程序使用的选项文件的信息,请参见第 4.2.2.2 节“使用选项文件”。
table4.9 mysql_secure_installation 选项
Option Name | Description | Introduced |
---|---|---|
--defaults-extra-file | 除常规选项文件外,还读取命名的选项文件 | |
--defaults-file | 只读命名的选项文件 | |
--defaults-group-suffix | 选项组后缀值 | |
--help | 显示帮助信息并退出 | |
--host | MySQL 服务器所在的主机 | |
--no-defaults | 不读取选项文件 | |
--password | 接受但始终被忽略。每当调用 mysql_secure_installation 时,都会提示用户 Importing 密码,无论 | |
--port | 用于连接的 TCP/IP 端口号 | |
--print-defaults | 打印默认选项 | |
--protocol | 使用的传输协议 | |
--socket | Unix 套接字文件或 Windows 命名管道使用 | |
--ssl | 启用连接加密 | |
--ssl-ca | 包含受信任的 SSL 证书颁发机构列 table 的文件 | |
--ssl-capath | 包含受信任的 SSL 证书颁发机构证书文件的目录 | |
--ssl-cert | 包含 X.509 证书的文件 | |
--ssl-cipher | 连接加密的允许密码 | |
--ssl-crl | 包含证书吊销列 table 的文件 | |
--ssl-crlpath | 包含证书吊销列 table 文件的目录 | |
--ssl-key | 包含 X.509 密钥的文件 | |
--ssl-verify-server-cert | 根据服务器证书的通用名身份验证主机名 | |
--tls-version | 允许的 TLS 协议进行加密连接 | 5.7.10 |
--use-default | 无需用户交互即可执行 | |
--user | 连接服务器时使用的 MySQL 用户名 |
- --help,
-?
显示帮助消息并退出。
在全局选项文件之后但在用户选项文件之前(在 Unix 上)读取此选项文件。如果该文件不存在或无法访问,则发生错误。 * file_name
*如果是相对路径名而不是完整路径名,则相对于当前目录进行解释。
有关此选项和其他选项文件选项的更多信息,请参见第 4.2.2.3 节“影响选项文件处理的命令行选项”。
仅使用给定的选项文件。如果该文件不存在或无法访问,则发生错误。 * file_name
*如果是相对路径名而不是完整路径名,则相对于当前目录进行解释。
有关此选项和其他选项文件选项的更多信息,请参见第 4.2.2.3 节“影响选项文件处理的命令行选项”。
不仅阅读常规选项组,还阅读具有常规名称和后缀* str
*的组。例如,mysql_secure_installation通常读取[client]
和[mysql_secure_installation]
组。如果提供了--defaults-group-suffix=_other选项,则mysql_secure_installation也会读取[client_other]
和[mysql_secure_installation_other]
组。
有关此选项和其他选项文件选项的更多信息,请参见第 4.2.2.3 节“影响选项文件处理的命令行选项”。
- --host=host_name,
-h host_name
连接到给定主机上的 MySQL 服务器。
不要读取任何选项文件。如果由于从选项文件中读取未知选项而导致程序启动失败,则可以使用--no-defaults来防止读取它们。
exception 是在所有情况下都读取.mylogin.cnf
文件(如果存在)。这样即使在使用--no-defaults的情况下,也可以通过比命令行更安全的方式指定密码。 (.mylogin.cnf
由mysql_config_editorUtil 创建。请参见第 4.6.6 节“ mysql_config_editor-MySQL 配置 Util”。)
有关此选项和其他选项文件选项的更多信息,请参见第 4.2.2.3 节“影响选项文件处理的命令行选项”。
- --password=password,
-p password
接受但忽略此选项。无论是否使用此选项,mysql_secure_installation总是提示用户 Importing 密码。
- --port=port_num,
-P port_num
对于 TCP/IP 连接,使用的端口号。
打印程序名称及其从选项文件中获取的所有选项。
有关此选项和其他选项文件选项的更多信息,请参见第 4.2.2.3 节“影响选项文件处理的命令行选项”。
用于连接到服务器的传输协议。当其他连接参数通常导致使用您想要的协议以外的协议时,此功能很有用。有关允许值的详细信息,请参见第 4.2.5 节“连接传输协议”。
- --socket=path,
-S path
对于到localhost
的连接(要使用的 Unix 套接字文件),或者在 Windows 上,要使用的命名管道的名称。
在 Windows 上,仅当在启用了named_pipe系统变量以支持命名管道连接的情况下启动服务器时,此选项才适用。此外,构建连接的用户必须是named_pipe_full_access_group系统变量指定的 Windows 组的成员。
以--ssl
开头的选项指定是否使用 SSL 连接到服务器,并指示在何处查找 SSL 密钥和证书。参见加密连接的命令选项。
加密连接允许的 TLS 协议。该值是一个或多个逗号分隔的协议名称的列 table。可以为此选项命名的协议取决于用于编译 MySQL 的 SSL 库。有关详细信息,请参见第 6.3.2 节“加密的连接 TLS 协议和密码”。
MySQL 5.7.10 中添加了此选项。
非交互执行。此选项可用于无人参与的安装操作。
- --user=user_name,
-u user_name
用于连接到服务器的 MySQL 帐户的用户名。