文章总结： 本文详细介绍了MariaDB的安全配置方法，涵盖操作系统级权限检查、数据库通用安全配置及验证等步骤。具体包括以非root用户运行数据库、禁用历史记录功能、删除test数据库、禁用localinfile参数、限制securefile_priv路径、管理用户权限及登录主机等，旨在提升数据库运维安全性。 综合评分： 85 文章分类： 安全建设,应用安全,数据安全,安全工具,技术标准

---

基线管理之MariaDB安全配置

原创

建哥聊安全 建哥聊安全

建哥聊安全

2026年3月21日 08:32 湖南

基线管理之MariaDB安全配置

实验目的

MariaDB的安全配置过程与配置方法，掌握数据库安全配置对安全运维至关重要。

实验环境

一台Centos7 已安装MariaDB数据库

实验原理

通过配置文件与数据库的配置，实现MariaDB安全配置

实验步骤

一、操作系统级权限检查

1、检查数据库的运行权限，不建议以root运行数据库，防止越权攻击

ps -ef | egrep “^mysql.*$”

如图显示mysqld的运行用户为mysql

2、禁用mariadb的历史记录功能

查找缓存文件

find $HOME -name “.mysql_history”

将缓存文件指向空文件

rm -f $HOME/.mysql_history

ln -s /dev/null $HOME/.mysql_history

3、查看并配置数据库存放路径权限

登录数据库

mysql -u root

查看数据库存放路径

show variables where variable_name = ‘datadir’;

退出数据库

quit

查看数据库存放路径权限

ls -l /var/lib | grep mysql

如图权限为755，使用以下命令改为700

chmod 700 /var/lib/mysql

二、Mariadb数据库的通用安全配置

1、删除默认的test数据库

进入数据库

mysql -u root

show DATABASES LIKE ‘test’;

删除数据库

DROP DATABASE ‘test’;

2、禁用local_infile参数

查看local_infile参数是否开启

show variables where variable_name = ‘local_infile’;

如上图显示local_infile 是开启状态，需要修改mariadb配置文件。修改方法，见后文。

3、修改secure_file_priv参数

查看secure_file_priv参数

SHOW GLOBAL VARIABLES WHERE Variable_name = ‘secure_file_priv’ ;

 如图显示路径为空，表示所有路径，建议设置为固定值，需要修改mariadb配置文件。修改方法，见后文。

4、确定只有root用户有内置数据库mysql的权限

查看内置数据库的权限

SELECT user, host FROM mysql.user WHERE (Select_priv = ‘Y’) OR (Insert_priv = ‘Y’) OR (Update_priv = ‘Y’) OR (Delete_priv = ‘Y’) OR (Create_priv = ‘Y’) OR (Drop_priv = ‘Y’);

5、查看file_priv权限，确定只有root用户有

select user, host from mysql.user where file_priv = ‘Y’;

撤销用户权限

如果在上例检查中，发现非root用户，可以使用下面命令撤销

revoke file on *.* from ‘user’;

同时这里检查权限还应有process_priv、super_priv这些字段。

6、配置允许用户登录的主机

查看当前用户可以登录的主机

select user,host from mysql.user;

更新用户允许登录的主机，如

update mysql.user set host=”192.168.1.200″ where host=”localhost” and user=”root”;

7、查看密码安全策略

show variables like ‘validate_password%’;

三、验证安全配置

1、生成两个任意文件

echo 1111 > /tmp/111.txt

echo 2222 > /var/lib/mysql-files/222.txt

2、进入数据库

mysql -u root

3、导入文件，前面我们查看参数时，发现local_infile参数为on

执行以下操作

创建数据库

create database temp;

use temp;

创建表，并导入/tmp/111.txt

create table table_test(cmd text);

insert into table_test(cmd) values (load_file(‘/tmp/111.txt’));

select cmd from table_test;

再次导入/var/lib/mysql/222.txt

insert into table_test(cmd) values (load_file(‘/var/lib/mysql/222.txt’));

select cmd from table_test;

发现导入成功

3、配置禁止导入，与导入路径

退出数据库

quit

编辑数据库配置文件

vim /etc/my.cnf

加入下面行，指定允许导入的路径，如/tmp

secure_file_priv=/tmp

保存并退出文件

重启mariadb数据库

systemctl restart mariadb

进入数据库

mysql -u root -h 127.0.0.1

尝试导入文件

use temp;

insert into table_test(cmd) values (load_file(‘/var/lib/mysql/222.txt’));

select * from table_test;

虽然提示执行成功，但查看数据库时，发现值为NULL

实验总结

通过mariadb的配置文件与参数查看，理解mariadb的一些安全配置。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：建哥聊安全 建哥聊安全 建哥聊安全《基线管理之MariaDB安全配置》