2024-05-09码农

最近一个多月，朋友苍何哥全身心投入到 「开源项目」 中，其中踩了很多的坑，今天分享的是 「数据库被勒索」 的经历，希望大家足够重视数据库的安全防护。

因为是开源项目嘛，为了控制成本，数据库使用的是阿里云 1 核 2G 的 ECS 服务器自己搭建的。

想着还在测试阶段，密码干脆就设置的比较简单，没错，就是 123456 😂。并且怎么简单怎么来，用的 docker 快速就搭建了，并没有设置好权限。

搭建好后过了一晚，一直在重启，看了下日志，以为是内存不足导致，又给 MySQL 加了 「内存限制和内存保留」 。

过了一天又发现，还是重启，且数据都不见了，查了下数据库，只有这一张表，且看了下要我支付 「5825.97」 元，直接就给我整无语了。

于是用 AI 查了下，发现原来是被黑客勒索了，一直关注开发，对运维、安全和备份确实有失关注了，还好只是测试数据，于是针对于此，做了很多数据库安全加固，给大家做个分享。

解决措施

1、复杂化数据库密码

原先的 root 密码是：123456，现在需要更复杂才行，由于是跑在 docker 中，启动命令设置强密码。密码尽量包含大小写及特殊字符，特别是对于线上环境，一定要把 root 密码设置的复杂些。

2、修改数据库默认端口

有经验的开发人员，项目部署到正式环境，会把 Mysql 数据库的默认端口 「替换成不常见的端口」 ，例如：33706

docker run -p 33706:3306 --name mysql \ -v /home/mysql/log:/var/log/mysql \ -v /home/mysql/data:/var/lib/mysql \ --memory 1.5g \ --restart=always \ -e MYSQL_ROOT_PASSWORD=填密码 -d mysql:5.7

原先应用服务器端口要删除 3306 端口，并增加 33706 端口，安全组设置如下：

并关闭关闭应用服务器防火墙端口：

sudo ufw delete allow 3306/tcp

开启数据库服务器33706 端口：

sudo ufw enable ufw allow 80/tcp ufw allow 22/tcp ufw allow 33706/tcp

3、限制数据库用户权限

一般不适用 root 用户来随意操作数据库，需要单独 「新建一个用户」 来操作，特别是开放远程连接，一定不能是 root 用户。

先用 docker logs mysql，看下日志，看下有没有启动报错，然后进入容器直接看：

默认 root 用户有最高权限：

新增一个开发用户，并设置相应权限：

#切换到mysql库，mysql库里存放着user表 use mysql; #查看user表现有 select host,user password from user; #创建开发阶段所需临时用户：dev_laigeoffer，自定义密码，尽量复杂化 create user 'dev_laigeoffer'@'%' identified by '设置密码'; #如果密码设置错了还可以修改 ALTER USER 'dev_laigeoffer'@'%' IDENTIFIED BY '更改密码'; #给开发用户分配访问权限，暂时允许任何主机连接，授权用户除了将权限授予其他账户的能力 GRANT ALL PRIVILEGES ON *.* TO 'dev_laigeoffer'@'%'; # 修改后刷新权限 flush privileges; #退出mysql数据库 exit; mysql -u dev_laigeoffer -p