用户权限管理

创建和管理用户： 使用 CREATE USER 和 GRANT 语句创建和管理用户。例如：

CREATE USER 'username'@'host' IDENTIFIED BY 'password';
GRANT SELECT, INSERT, UPDATE, DELETE ON database.* TO 'username'@'host';

最小权限原则： 只赋予用户执行其任务所需的最小权限，避免授予 ALL PRIVILEGES。例如，如果用户只需要读取数据，可以只授予 SELECT 权限：

GRANT SELECT ON database.* TO 'readonly_user'@'host';

密码管理

强密码策略： 强制使用复杂密码，包括字母、数字和特殊字符。可以使用插件或配置策略来强制执行强密码策略。

密码过期： 设置用户密码过期策略，定期更改密码。例如：

ALTER USER 'username'@'host' PASSWORD EXPIRE INTERVAL 90 DAY;

加密

数据传输加密： 使用 SSL/TLS 加密客户端和服务器之间的通信，确保数据在传输过程中不会被截获和篡改。配置SSL/TLS：

[mysqld]
ssl-ca=/path/to/ca-cert.pem
ssl-cert=/path/to/server-cert.pem
ssl-key=/path/to/server-key.pem

数据存储加密： 使用 InnoDB 表空间加密功能加密存储在磁盘上的数据。启用InnoDB表空间加密：

ALTER TABLE table_name ENCRYPTION='Y';

安全配置

配置文件安全： 确保 MySQL 配置文件（如 my.cnf 或 my.ini）的访问权限仅限于数据库管理员。修改文件权限：

chown mysql:mysql /etc/mysql/my.cnf
chmod 600 /etc/mysql/my.cnf

禁用远程登录： 如果不需要远程访问数据库，禁用 root 用户的远程登录权限。

UPDATE mysql.user SET host='localhost' WHERE user='root';
FLUSH PRIVILEGES;

日志和审计

启用查询日志： 启用慢查询日志和通用查询日志，监控异常活动和潜在威胁。

[mysqld]
slow_query_log = 1
slow_query_log_file = /var/log/mysql/mysql-slow.log
long_query_time = 2
general_log = 1
general_log_file = /var/log/mysql/mysql.log

这些措施可以显著提升MySQL数据库的安全性，保护数据免受各种安全威胁。