我要评论一、引言:装完就能用,但千万别直接用
在ubuntu上安装mysql只需一条命令:
sudo apt update && sudo apt install mysql-server -y
centos/rhel上:
sudo dnf install mysql-server -y
安装完成后,mysql默认已经启动。但如果你认为“装完就能直接用”,那就太危险了。默认安装的mysql存在几个严重安全隐患:
- root用户可以无密码登录(部分版本)
- 存在匿名用户,任何人都有一定权限访问数据库
- 存在test数据库,所有人都能访问
在生产环境中,这几个问题中的任何一个都可能导致数据泄露。所以安装后的第一步,永远是安全初始化。
二、mysql_secure_install:安全初始化
mysql提供了一个交互式脚本mysql_secure_installation,专门用来加固初始安装。运行:
sudo mysql_secure_installation
脚本会依次询问以下问题,这是最关键的部分,请仔细阅读每一项的说明:
问题一:配置密码验证插件
validate password component: would you like to setup validate password component?
这个插件会强制密码必须满足一定复杂度(长度、大小写、数字、特殊字符)。建议选择yes(输入y)。如果这是个人学习环境、不想太复杂,也可以选no。
问题二:设置root密码
please set the password for root here. new password: _ re-enter new password: _
如果系统没有要求输入初始密码(如ubuntu较新版本通过auth_socket而不是密码验证),系统会直接引导你设置新密码。如果提示输入当前密码而你完全不知道,查看本文最后的faq。
问题三:删除匿名用户
remove anonymous users? (press y|y for yes)
必须选yes。匿名用户允许任何人无需账号就能连接数据库,是严重的安全漏洞。
问题四:禁止root远程登录
disallow root login remotely? (press y|y for yes)
强烈建议选yes。root只允许本地(127.0.0.1)连接,即使数据库被暴露到公网,攻击者也连不上root。如果你的应用需要远程管理数据库,应该创建专门的远程用户而不是开放root。
问题五:删除test数据库
remove test database and access to it? (press y|y for yes)
选yes。test数据库默认所有人可访问,没有任何保留价值。
问题六:重新加载权限表
reload privilege tables now? (press y|y for yes)
选yes。让以上所有修改立即生效。
faq:忘记或不知道初始root密码怎么办?
ubuntu新版本(18.04+)使用auth_socket插件认证root,在系统root用户下可以免密直接登录mysql:
sudo mysql # 以系统root身份直接进入mysql,无需密码
进入后可以修改认证方式和密码(参见第三步)。如果这条命令无效,需要用第14篇学过的单用户模式或--skip-grant-tables方式绕过认证,再重置密码。
三、用户与权限:给谁看什么,谁又能改什么
安全初始化之后,mysql只保留了root用户。日常开发中,我们需要为每个应用创建独立的数据库和用户,并授予精确的最小权限。
3.1 登录mysql
sudo mysql -u root -p # 输入安全初始化时设置的密码
mysql的命令需要用;结束。看到提示符变成mysql>,就进入了mysql交互界面。
3.2 创建数据库
-- 创建数据库(字符集设置为 utf8mb4,支持emoji等4字节字符) create database myapp default character set utf8mb4 collate utf8mb4_unicode_ci;
两点说明:
utf8mb4是真正的utf-8(mysql的utf8是阉割版,只支持最多3字节字符)。任何新项目都应该用utf8mb4utf8mb4_unicode_ci中的ci代表大小写不敏感(case insensitive),适合大多数文本排序场景
3.3 创建用户并授权
-- 创建用户('用户名'@'允许从哪里连接') create user 'myapp_user'@'localhost' identified by 'strongpassword123!'; -- 授予权限(把 myapp 数据库的所有权限授予该用户) grant all privileges on myapp.* to 'myapp_user'@'localhost'; -- 刷新权限表(让授权立即生效) flush privileges;
@后面的主机部分决定了这个账号从哪台机器可以连接:
| 写法 | 含义 | 使用场景 |
|---|---|---|
'user'@'localhost' | 只能从本机连接 | 应用和数据库在同一台机器上 |
'user'@'192.168.1.%' | 允许特定网段连接 | 应用在另一台服务器上,需远程访问 |
'user'@'%' | 允许任何ip连接 | 非常危险,尽量避免 |
权限最小化原则:不要动不动就all privileges。如果应用只需要读写数据,不需要修改表结构,使用:
grant select, insert, update, delete on myapp.* to 'myapp_user'@'localhost';
3.4 验证用户
-- 查看用户列表 select user, host from mysql.user; -- 查看某用户的权限 show grants for 'myapp_user'@'localhost'; -- 退出mysql exit;
然后用新用户测试连接:
mysql -u myapp_user -p -h 127.0.0.1
四、my.cnf调优:三个必须改的参数
mysql的默认配置面向兼容性,而不是性能。在使用mysql之前,至少调整以下三个参数。配置文件位置:
# ubuntu/debian sudo vim /etc/mysql/mysql.conf.d/mysqld.cnf # centos/rhel sudo vim /etc/my.cnf.d/mysql-server.cnf
在[mysqld]段下添加或修改参数,修改后重启生效:sudo systemctl restart mysql。
4.1 innodb_buffer_pool_size:内存的核心参数
[mysqld] innodb_buffer_pool_size = 1g
这个参数是mysql调优最重要的参数,没有之一。
它的作用是:innodb用它来缓存数据页和索引。mysql频繁读写的数据如果都缓存在这里,查询和写入就是内存速度;缓存不够就只能频繁读写磁盘,慢两到三个数量级。
设置多大合适?
| 服务器内存 | 建议值 | 说明 |
|---|---|---|
| 1gb | 512m | 最低建议,再小mysql性能严重下降 |
| 2gb-4gb | 总内存 × 50% | 留一半给操作系统和应用程序 |
| 8gb+ | 总内存 × 70% | 数据库可以多吃内存 |
| 独服/大内存 | 总内存 × 80% | 上限,再多操作系统会换页 |
验证是否生效:
-- 进入mysql后执行 select @@innodb_buffer_pool_size/1024/1024 as pool_size_mb;
输出应该接近你设置的值。
4.2 innodb_log_file_size:写入性能的关键
innodb_log_file_size = 256m
这个参数控制innodb的重做日志(redo log)大小。它的作用像一个“写入缓冲区”:数据修改先记录到重做日志,然后慢慢写入实际数据文件。
设置过小的症状:频繁的磁盘刷新,写入性能严重下降。设置过大的代价:崩溃恢复时间变长,但不会影响正常运行。
建议值:256mb到1gb之间。对于大多数应用,256mb是一个安全的起点。如果你有高并发写入场景,可以调到512mb或更大。
4.3 max_connections:最大连接数
max_connections = 200
mysql默认最大连接数通常是151。对于web应用,这个值经常不够用——每个php进程/python线程都可能占用一个连接。如果达到上限,新请求会报too many connections错误。
# 查看当前连接数 mysql -u root -p -e "show status like 'threads_connected';"
注意:连接数不是越大越好。每个连接占用内存(默认约2mb),200个连接可能占400mb内存。设置时确保:max_connections × 每个连接内存 不会耗尽服务器内存。
完整建议配置(2gb内存服务器):
[mysqld] innodb_buffer_pool_size = 1g innodb_log_file_size = 256m max_connections = 200 character-set-server = utf8mb4 collation-server = utf8mb4_unicode_ci
五、忘记密码怎么办?
如果你忘记了mysql root密码,可以绕过认证重置:
# 1. 停止mysql sudo systemctl stop mysql # 2. 跳过权限验证启动 sudo mysqld_safe --skip-grant-tables & # 3. 无密码登录 mysql -u root # 4. 在mysql中重置密码 flush privileges; alter user 'root'@'localhost' identified by 'newstrongpassword123!'; # 5. 退出后正常启动 sudo pkill mysqld sudo systemctl start mysql
六、本篇小结
安全初始化(必做):
sudo mysql_secure_installation
依次确认:验证密码插件(按需)→ 设root密码 → 删匿名用户 → 禁用root远程登录 → 删test数据库 → 重载权限。
数据库和用户管理:
| 操作 | 命令 |
|---|---|
| 创建数据库 | create database dbname charset utf8mb4; |
| 创建用户 | create user 'user'@'host' identified by 'password'; |
| 授权 | grant all on dbname.* to 'user'@'host'; |
| 查看权限 | show grants for 'user'@'host'; |
| 生效 | flush privileges; |
核心调优参数:
| 参数 | 建议值(2gb内存) | 作用 |
|---|---|---|
innodb_buffer_pool_size | 1g | 缓存数据和索引,最重要 |
innodb_log_file_size | 256m | 写入缓冲,影响写性能 |
max_connections | 200 | 最大连接数 |
动手练习
# 1. (如果是新环境)运行安全初始化 sudo mysql_secure_installation # 2. 创建练习数据库和用户 sudo mysql -u root -p
create database testdb charset utf8mb4; create user 'testuser'@'localhost' identified by 'testpass123!'; grant select, insert, update, delete on testdb.* to 'testuser'@'localhost'; flush privileges; exit;
# 3. 用新用户连接测试 mysql -u testuser -p -h 127.0.0.1 # 在mysql中查看自己有哪些权限 show grants for current_user(); exit;
七、下篇预告
有了web服务器(nginx)和数据库(mysql),开发团队还需要一个地方共享文件。下一篇我们将学习搭建ftp与samba文件共享服务——ftp适合传统的文件传输,samba则能让linux目录直接出现在windows的“网络邻居”中,拖拽上传就像操作本地文件夹。
延伸思考:敏感数据(如密码字段)应该直接存储在数据库里吗?绝对不要。即使用grant限制了用户权限,数据库文件被盗或sql注入仍然可能暴露这些数据。正确的做法是存储密码的加盐哈希(如bcrypt),在应用层处理加密逻辑。数据库只管“存”,应用层负责“保护”。这也是纵深防御原则的一个体现。
到此这篇关于数据库mysql/mariadb安装与基础调优过程的文章就介绍到这了,更多相关mysql mariadb安装调试内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
发表评论