MySQL 数据库身份鉴别与安全配置指南 | 极客日志

SQL

MySQL 数据库身份鉴别与安全配置指南

MySQL 数据库身份鉴别涉及用户唯一性、密码验证、空口令检查、复杂度校验、有效期设置及登录失败限制。通过查询 mysql.user 表及系统变量可评估当前配置状态。针对不合规项，可使用 validate_password 插件设置密码策略，利用 connection_control 插件限制登录失败次数并锁定账户，同时调整 wait_timeout 控制会话保持时间。这些措施能有效提升数据库访问安全性，满足等保要求。

ByteFlow发布于 2026/3/15更新于 2026/5/2525 浏览

Q：如何保障 MySQL 数据库身份鉴别的有效性

提示：本文示例均以 MySQL5.7 为例，通过 root 用户执行相关命令。

如何保障 MySQL 数据库身份鉴别，有很多手段进行识别。博主通过 SQL 的方式，进行逐一介绍。

一、有效性检查

1. 用户唯一

检查授权的用户是否唯一：

SELECT USER, HOST FROM mysql.user;

2. 启用密码验证

检查 PLUGIN 是否包含 *_password：

-- mysql_native_password，身份验证插件
SELECT USER, HOST, PLUGIN FROM mysql.user;

3. 是否存在空口令用户

检查 authentication_string 是否存在空值：

-- authentication_string，加密后密码，即执行 password() 后的值
SELECT USER, HOST, PLUGIN, authentication_string FROM mysql.user;

4. 是否启用口令复杂度校验

检查 validate_password 插件，是否已启用：

-- 如果为空，证明未启用该插件
SHOW VARIABLES LIKE 'validate%';

5. 是否设置口令的有效期

-- 默认 0，永不过期
SHOW VARIABLES LIKE '%default_password_lifetime%';

6. 是否限制登录失败尝试次数

-- 如为空，代表未设置，可无限尝试
SHOW VARIABLES LIKE '%connection-control-failed-connections-threshold%';

7. 是否设置（超过尝试次数）锁定的最小时长

-- 如为空，代表未设置，永不锁定
SHOW VARIABLES LIKE ;

相关免费在线工具

SQL 美化和格式化
在线格式化和美化您的 SQL 查询（它支持各种 SQL 方言）。在线工具，SQL 美化和格式化在线工具，online
SQL转CSV/JSON/XML
解析 INSERT 等受限 SQL，导出为 CSV、JSON、XML、YAML、HTML 表格（见页内语法说明）。在线工具，SQL转CSV/JSON/XML在线工具，online
CSV 工具包
CSV 与 JSON/XML/HTML/TSV/SQL 等互转，单页多 Tab。在线工具，CSV 工具包在线工具，online
Base64 字符串编码/解码
将字符串编码和解码为其 Base64 格式表示形式即可。在线工具，Base64 字符串编码/解码在线工具，online
Base64 文件转换器
将字符串、文件或图像转换为其 Base64 表示形式。在线工具，Base64 文件转换器在线工具，online
Markdown转HTML
将 Markdown（GFM）转为 HTML 片段，浏览器内 marked 解析；与 HTML转Markdown 互为补充。在线工具，Markdown转HTML在线工具，online

-- 默认 0，代表永不退出登录
SHOW VARIABLES LIKE '%wait_timeout%';

ALTER USER [USER]@[HOST] IDENTIFIED BY '[PASSWORD]';

INSTALL PLUGIN validate_password SONAME 'validate_password.so';

SHOW VARIABLES LIKE 'validate%';

参数名称	用途
validate_password_length	定义密码长度，默认 8 位，适用于 LOW 策略。
validate_password_mixed_case_count	定义大、小写字母的个数，默认 1，适用于非 LOW 策略。
validate_password_number_count	定义数字的个数，默认 1，适用于非 LOW 策略。
validate_password_special_char_count	定义特殊字符的个数，默认 1，适用于非 LOW 策略。

-- 必须以 root 身份执行，且拥有 super 权限
SET GLOBAL [具体参数名称]=[VALUE];

-- 必须以 root 身份执行，设置有效期为 90 天
SET GLOBAL default_password_lifetime=90;

-- 必须以 root 身份执行
INSTALL PLUGIN CONNECTION_CONTROL SONAME 'connection_control.so';
INSTALL PLUGIN CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS SONAME 'connection_control.so';

参数名称	用途
connection_control_failed_connections_threshold	登录失败尝试次数，默认 3，如 0 代表不限制。
connection_control_max_connection_delay	登录失败次数满后，再次响应的最大延迟时间（毫秒），建议默认
connection_control_min_connection_delay	登录失败次数满后，再次响应的最小延迟时间（毫秒）。

-- 必须以 root 身份执行，且拥有 super 权限
SET GLOBAL [具体参数名称]=[VALUE];

-- 必须以 root 身份执行，设置保持登录的有效期为 1800 秒
SET GLOBAL wait_timeout=1800;

MySQL 数据库身份鉴别与安全配置指南

Q：如何保障 MySQL 数据库身份鉴别的有效性

一、有效性检查

1. 用户唯一

2. 启用密码验证

3. 是否存在空口令用户

4. 是否启用口令复杂度校验

5. 是否设置口令的有效期

6. 是否限制登录失败尝试次数

7. 是否设置（超过尝试次数）锁定的最小时长

更多推荐文章

相关免费在线工具

8. 是否设置保持登录的有效期

二、应对方案

1. 空口令问题

2. 口令复杂度

2.1 安装插件

2.2 参数解释

2.2.1 validate_password_policy

2.2.2 配套参数

2.3 调整参数

3. 口令有效期

4. 设置登录失败处理

4.1 安装插件

4.2 参数解释

4.3 调整参数

5. 设置登录保持时间

更多推荐文章

相关免费在线工具

MySQL 数据库身份鉴别与安全配置指南

Q：如何保障 MySQL 数据库身份鉴别的有效性

一、有效性检查

1. 用户唯一

2. 启用密码验证

3. 是否存在空口令用户

4. 是否启用口令复杂度校验

5. 是否设置口令的有效期

6. 是否限制登录失败尝试次数

7. 是否设置（超过尝试次数）锁定的最小时长

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具

8. 是否设置保持登录的有效期

二、应对方案

1. 空口令问题

2. 口令复杂度

2.1 安装插件

2.2 参数解释

2.2.1 validate_password_policy

2.2.2 配套参数

2.3 调整参数

3. 口令有效期

4. 设置登录失败处理

4.1 安装插件

4.2 参数解释

4.3 调整参数

5. 设置登录保持时间

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具