MySQL 8.0通过等保三级测评需闭环落实身份鉴别、访问控制、传输加密、审计日志四大刚性环节;必须启用validate_password组件并设STRONG策略,强制caching_sha2_password+REQUIRE SSL实现双因子效果,禁用root远程登录,删除test库,落实三权分立与最小权限。
MySQL 8.0 要通过等保三级测评,核心不是“加一堆插件”,而是围绕身份鉴别、访问控制、传输加密、审计日志四个刚性环节做闭环配置。漏掉任一环,测评时都可能被直接判为高风险项。
MySQL 8.0 默认不激活密码强度校验,仅靠人工改密码无法满足等保三级对“复杂度+周期更换+失败锁定”的组合要求。
INSTALL COMPONENT 'file://component_validate_password' 是第一步,不能用旧式 INSTALL PLUGIN validate_password SONAME 'validate_password.so'(已废弃)SET GLOBAL validate_password.policy = 'STRONG'、validate_password.length = 12、validate_password.mixed_case_count = 2、validate_password.number_count = 2、validate_password.special_char_count = 1
ALTER USER 'root'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;否则测评时会发现大量账号密码永不过期SET GLOBAL validate_password.dictionary_file = '/etc/mysql/weak_passwords.txt' 拦截常见弱口令,否则 admin123、Passw0rd! 类密码仍能通过等保三级明确要求“两种及以上鉴别技术”,纯密码认证(哪怕再强)也不够。MySQL 8.0 原生不支持短信/令牌,但可用 caching_sha2_password 认证插件 + SSL 强制连接模拟双因子效果。
REQUIRE SSL:CREATE USER 'audit_admin'@'%' IDENTIFIED WITH caching_sha2_password BY 'Xy7#mQn!2026' REQUIRE SSL
SELECT user, host, ssl_type FROM mysql.user WHERE user = 'audit_admin',结果必须是 ANY 或 X509
my.cnf 中配好 ssl_ca、ssl_cert、ssl_key
mysql_native_password 用户用于生产连接,测评工具会扫描并报出“认证方式单一”测评中超过 35% 的失败案例源于权限模型崩溃:root 远程可连、test 数据库开放、离职账号未清理。
DELETE FROM mysql.user WHERE user = 'root' AND host != 'localhost',然后 FLUSH PRIVILEGES
CREATE ROLE 'app_writer'; GRANT INSERT, UPDATE ON app_db.* TO 'app_writer';,再把角色赋给应用账号DROP DATABASE IF EXISTS test,并确认 SELECT SCHEMA_NAME FROM information_schema.SCHEMATA WHERE SCHEMA_NAME = 'test' 返回空SELECT user, host, account_locked FROM mysql.user WHERE password_last_changed ,锁掉长期未更新密码的账号
等保三级要求“所有安全事件记录不可篡改”,但很多人只开了 audit_log 就以为万事大吉,实际日志可能写入失败或被覆盖。
INSTALL COMPONENT 'file://component_audit_log',不是插件;配置项在 my.cnf 中:audit_log=FORCE_PLUS_PERMANENT
SELECT * FROM performance_schema.audit_log_summary_by_account LIMIT 1,无返回说明没生效/var/log/mysql/audit.log)需由独立系统账号(如 mysql-audit)拥有,且禁止数据库进程有写权限——否则攻击者可清空日志Connect 事件,去 general_log 或业务日志里找对应时间戳的操作,不一致即判“审计不完整”最易被跳过的点是:密码策略和审计日志的配置必须写进 my.cnf 持久化,而不仅是 SET GLOBAL;SSL 证书链必须完整可信,自签名证书在金融类测评中大概率不被接受;所有 ALTER USER 操作后必须 FLUSH PRIVILEGES,否则权限变更不实时生效。