Documentation Home
MySQL 8.3 Reference Manual
Related Documentation
MySQL 8.3 Release Notes
Download this Manual
PDF (US Ltr) - 40.8Mb
PDF (A4) - 40.9Mb
Man Pages (TGZ) - 294.0Kb
Man Pages (Zip) - 409.0Kb
Info (Gzip) - 4.0Mb
Info (Zip) - 4.0Mb
Excerpts from this Manual
MySQL Backup and Recovery
MySQL NDB Cluster 8.3
MySQL Globalization
MySQL Information Schema
MySQL Installation Guide
MySQL and Linux/Unix
MySQL and macOS
MySQL Partitioning
MySQL Performance Schema
MySQL Replication
Using the MySQL Yum Repository
MySQL Restrictions and Limitations
Security in MySQL
MySQL and Solaris
Building MySQL from Source
Starting and Stopping MySQL
MySQL Tutorial
MySQL and Windows


MySQL 8.3 Reference Manual  /  ...  /  mysql_secure_installation — Improve MySQL Installation Security

6.4.2 mysql_secure_installation — 提高 MySQL 安装安全性

该程序使您可以通过以下方式提高 MySQL 安装的安全性:

  • 您可以为 root 帐户设置密码。

  • 您可以删除可以从外部主机访问的 root 帐户。

  • 您可以删除匿名用户帐户。

  • 您可以删除 test 数据库(默认情况下,所有用户,包括匿名用户,可以访问该数据库),以及允许任何人访问以 test_ 开头的数据库的权限。

mysql_secure_installation 帮助您实施类似于 第 2.9.4 节“保护初始 MySQL 帐户” 中描述的安全建议。

正常使用是连接到本地 MySQL 服务器;无参数执行 mysql_secure_installation

mysql_secure_installation

执行时,mysql_secure_installation 会提示您确定要执行的操作。

组件 validate_password 可用于密码强度检查。如果插件未安装,mysql_secure_installation 会提示用户是否安装它。稍后输入的任何密码都将使用插件进行检查,如果启用了插件。

大多数常见的 MySQL 客户端选项,例如 --host--port,可以在命令行和选项文件中使用。例如,要连接到本地服务器的 IPv6 端口 3307,请使用以下命令:

mysql_secure_installation --host=::1 --port=3307

mysql_secure_installation 支持以下选项,可以在命令行或选项文件的 [mysql_secure_installation][client] 组中指定。有关 MySQL 程序使用的选项文件的信息,请参阅 第 6.2.2.2 节“使用选项文件”

表 6.9 mysql_secure_installation 选项

Option Name Description
--defaults-extra-file 读取额外的选项文件,除了通常的选项文件
--defaults-file 仅读取指定的选项文件
--defaults-group-suffix 选项组后缀值
--help 显示帮助信息并退出
--host MySQL 服务器所在的主机
--no-defaults 不读取任何选项文件
--password 总是被忽略的。无论何时执行 mysql_secure_installation,用户都会被提示输入密码
--port TCP/IP 端口号
--print-defaults 打印默认选项
--protocol 要使用的传输协议
--socket Unix 套接字文件或 Windows 命名管道
--ssl-ca 包含受信任的 SSL 证书颁发机构列表的文件
--ssl-capath 包含受信任的 SSL 证书颁发机构证书文件的目录
--ssl-cert 包含 X.509 证书的文件
--ssl-cipher 连接加密允许的密码
--ssl-crl 包含证书撤销列表的文件
--ssl-crlpath 包含证书撤销列表文件的目录
--ssl-fips-mode 是否在客户端启用 FIPS 模式
--ssl-key 包含 X.509 密钥的文件
--ssl-mode 到服务器的连接的所需安全状态
--ssl-session-data 包含 SSL 会话数据的文件
--ssl-session-data-continue-on-failed-reuse 如果会话重用失败,是否建立连接
--tls-ciphersuites 加密连接允许的 TLSv1.3 密码套件
--tls-sni-servername 客户端提供的服务器名称
--tls-version 加密连接允许的 TLS 协议
--use-default 无交互执行
--user 连接到服务器时使用的 MySQL 用户名

  • --help, -?

    Command-Line Format --help

    显示帮助信息并退出。

  • --defaults-extra-file=file_name

    Command-Line Format --defaults-extra-file=file_name
    Type 文件名

    在全局选项文件后但(在 Unix 上)在用户选项文件之前读取该选项文件。如果文件不存在或不可访问,将发生错误。如果 file_name 不是绝对路径名,则相对于当前目录进行解释。

    有关此选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节,“命令行选项影响选项文件处理”

  • --defaults-file=file_name

    Command-Line Format --defaults-file=file_name
    Type 文件名

    仅使用给定的选项文件。如果文件不存在或不可访问,将发生错误。如果 file_name 不是绝对路径名,则相对于当前目录进行解释。

    有关此选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节,“命令行选项影响选项文件处理”

  • --defaults-group-suffix=str

    Command-Line Format --defaults-group-suffix=str
    Type 字符串

    不仅读取通常的选项组,还读取具有通常名称和后缀的组 str。例如,mysql_secure_installation 通常读取 [client][mysql_secure_installation] 组。如果给出这个选项为 --defaults-group-suffix=_othermysql_secure_installation 也读取 [client_other][mysql_secure_installation_other] 组。

    有关这个和其他选项文件选项的更多信息,请参见 第 6.2.2.3 节,“命令行选项影响选项文件处理”

  • --host=host_name, -h host_name

    Command-Line Format --host

    连接到指定主机的 MySQL 服务器。

  • --no-defaults

    Command-Line Format --no-defaults

    不读取任何选项文件。如果程序启动失败是由于从选项文件中读取未知选项,--no-defaults 可以用于防止它们被读取。

    唯一的例外是,如果存在,总是读取 .mylogin.cnf 文件。这允许在命令行上指定密码的方式更加安全,即使使用 --no-defaults。要创建 .mylogin.cnf,请使用 mysql_config_editor 实用程序。请参见 第 6.6.7 节,“mysql_config_editor — MySQL 配置实用程序”

    有关这个和其他选项文件选项的更多信息,请参见 第 6.2.2.3 节,“命令行选项影响选项文件处理”

  • --password=password, -p password

    Command-Line Format --password=password
    Type String
    Default Value [none]

    这个选项被接受但被忽略。不管这个选项是否使用,mysql_secure_installation 总是提示用户输入密码。

  • --port=port_num, -P port_num

    Command-Line Format --port=port_num
    Type Numeric
    Default Value 3306

    对于 TCP/IP 连接,使用的端口号。

  • --print-defaults

    Command-Line Format --print-defaults

    打印程序名称和从选项文件中获取的所有选项。

    有关这个和其他选项文件选项的更多信息,请参见 第 6.2.2.3 节,“命令行选项影响选项文件处理”

  • --protocol={TCP|SOCKET|PIPE|MEMORY}

    Command-Line Format --protocol=type
    Type String
    Default Value [see text]
    Valid Values

    TCP

    SOCKET

    PIPE

    MEMORY

    用于连接到服务器的传输协议。当其他连接参数通常导致使用其他协议时,这很有用。有关允许值的详细信息,请参阅第 6.2.7 节,“连接传输协议”

  • --socket=path, -S path

    Command-Line Format --socket={file_name|pipe_name}
    Type 字符串

    对于连接到 localhost,使用的 Unix 套接字文件,或者在 Windows 上,使用的命名管道名称。

    在 Windows 上,这个选项仅在服务器以 named_pipe 系统变量启用以支持命名管道连接时生效。此外,连接必须是 Windows 组指定的 named_pipe_full_access_group 系统变量的成员。

  • --ssl*

    --ssl 开头的选项指定是否使用加密连接到服务器,并指示 SSL 密钥和证书的位置。请参阅 命令选项加密连接

  • --ssl-fips-mode={OFF|ON|STRICT}

    Command-Line Format --ssl-fips-mode={OFF|ON|STRICT}
    Deprecated
    Type 枚举
    Default Value OFF
    Valid Values

    OFF

    ON

    STRICT

    控制客户端是否启用 FIPS 模式。--ssl-fips-mode 选项不同于其他 --ssl-xxx 选项,因为它不是用于建立加密连接,而是影响允许的加密操作。请参阅 第 8.8 节,“FIPS 支持”

    这些 --ssl-fips-mode 值是允许的:

    • OFF:禁用 FIPS 模式。

    • ON:启用 FIPS 模式。

    • STRICT:启用“严格”FIPS 模式。

    Note

    如果 OpenSSL FIPS 对象模块不可用,则 --ssl-fips-mode 的唯一允许值是 OFF。在这种情况下,将 --ssl-fips-mode 设置为 ONSTRICT 将导致客户端在启动时产生警告,并在非 FIPS 模式下操作。

    这个选项已弃用。预计在未来版本的 MySQL 中删除。

  • --tls-ciphersuites=ciphersuite_list

    Command-Line Format --tls-ciphersuites=ciphersuite_list
    Type 字符串

    使用 TLSv1.3 加密连接的允许密码套件列表。该值是一个或多个以冒号分隔的密码套件名称。可以命名的密码套件取决于编译 MySQL 的 SSL 库。有关详细信息,请参阅 第 8.3.2 节,“加密连接 TLS 协议和密码”

  • --tls-sni-servername=server_name

    Command-Line Format --tls-sni-servername=server_name
    Type 字符串

    当指定时,名称将传递给 libmysqlclient C API 库,使用 MYSQL_OPT_TLS_SNI_SERVERNAME 选项的 mysql_options()。服务器名称不区分大小写。要显示客户端为当前会话指定的服务器名称(如果有),请检查 Tls_sni_server_name 状态变量。

    服务器名称指示(SNI)是 TLS 协议的扩展(OpenSSL 必须使用 TLS 扩展编译以使该选项生效)。MySQL 实现的 SNI 仅表示客户端。

  • --tls-version=protocol_list

    Command-Line Format --tls-version=protocol_list
    Type 字符串
    Default Value

    TLSv1,TLSv1.1,TLSv1.2,TLSv1.3(OpenSSL 1.1.1 或更高版本)

    TLSv1,TLSv1.1,TLSv1.2(否则)

    加密连接的允许 TLS 协议。该值是一个或多个以逗号分隔的协议名称列表。可以命名的协议取决于编译 MySQL 的 SSL 库。有关详细信息,请参阅 第 8.3.2 节,“加密连接 TLS 协议和密码”

  • --use-default

    Command-Line Format --use-default
    Type 布尔值

    执行非交互式操作。此选项可用于无人参与的安装操作。

  • --user=user_name, -u user_name

    Command-Line Format --user=user_name
    Type 字符串

    用于连接到服务器的 MySQL 帐户的用户名。


PREV   HOME   UP   NEXT
Related Documentation
MySQL 8.3 Release Notes
Download this Manual
PDF (US Ltr) - 40.8Mb
PDF (A4) - 40.9Mb
Man Pages (TGZ) - 294.0Kb
Man Pages (Zip) - 409.0Kb
Info (Gzip) - 4.0Mb
Info (Zip) - 4.0Mb
Excerpts from this Manual
MySQL Backup and Recovery
MySQL NDB Cluster 8.3
MySQL Globalization
MySQL Information Schema
MySQL Installation Guide
MySQL and Linux/Unix
MySQL and macOS
MySQL Partitioning
MySQL Performance Schema
MySQL Replication
Using the MySQL Yum Repository
MySQL Restrictions and Limitations
Security in MySQL
MySQL and Solaris
Building MySQL from Source
Starting and Stopping MySQL
MySQL Tutorial
MySQL and Windows