SQL系统安全加固怎么做_高频场景实例讲解便于理解使用【指导】

SQL系统安全加固核心是管账号、锁连接、限权限。具体包括清理冗余账号与空口令，强制密码策略与生命周期管理，实施最小权限分配并禁用guest账户，以及启用加密通信与协议收紧。

SQL系统安全加固不是堆功能，而是做减法、控边界、加锁链。核心就三点：管住谁（账号）、锁住怎么连（认证与传输）、限住能干啥（权限）。下面用高频实战场景直接说清楚怎么做。

清理冗余账号和空口令

这是最常被忽略的第一步。测试账号、开发遗留账号、匿名用户（user为空）、host为'%'的宽泛账号，都是攻击入口。

• MySQL中执行：SELECT user, host, authentication_string FROM mysql.user; 查看所有账号，重点找user=''、host='%'、authentication_string为空的记录
• 删掉无用账号：DROP USER 'test'@'%'; DROP USER ''@'localhost'; 注意必须指定host，避免误删
• SQL Server里进SSMS → 安全性 → 登录名，右键“BUILTIN\Administrators” → 属性 → 勾选“拒绝连接”+“禁用登录”
• 删完务必执行FLUSH PRIVILEGES;（MySQL）或重启服务（SQL Server部分配置需重启生效）

强制密码策略与生命周期管理

弱口令=送钥匙。不能只改sa/root密码，要让系统自动拦住不合规口令。

• MySQL 8.0+启用校验插件：INSTALL PLUGIN validate_password SONAME 'validate_password.so';
  再设强度：长度≥10、含2数字、1特殊字符、禁止字典常见词
• SQL Server中对每个登录名右键→属性→勾选“强制实施密码策略”+“强制密码过期”（建议90天）
• 创建新用户时直接带策略：CREATE USER 'app_rw'@'192.168.1.%' IDENTIFIED BY 'P@ssw0rd2025' PASSWORD EXPIRE INTERVAL 90 DAY FAILED_LOGIN_ATTEMPTS 5;

最小权限分配与guest账户限制

一个查报表的账号，不该有DROP TABLE权限；一个业务库用户，不该拥有sysadmin服务器角色。

标签： mysql word app ssl ai sqlserver 加密通信 red 2025