MySQL默认安装后可能存在匿名用户(用户名为空),需立即清理:执行SELECT user,host FROM mysql.user;检查空user记录,用DROP USER ”@’host’;删除(5.7+)或DELETE+FLUSH PRIVILEGES(旧版),并运行mysql_secure_installation加固。
MySQL 默认安装后可能包含匿名用户(用户名为空),这类账户没有密码,可被任意主机连接,存在严重安全隐患。必须立即清理并禁用。
检查是否存在匿名用户
登录 MySQL(需有 SUPER 或 SELECT ON mysql.* 权限),执行以下命令查看所有用户:
SELECT user, host FROM mysql.user;
若结果中出现 user 列为空字符串(”) 的记录,即为匿名用户,例如:''@'localhost' 或 ''@'192.168.1.100'
删除匿名用户
使用 DROP USER 语句移除匿名账户(MySQL 5.7+ 推荐方式):
- DROP USER ”@’localhost’;
- DROP USER ”@’%’;(如存在远程匿名访问)
注意:DROP USER 会同时清除权限和账户。若使用的是 MySQL 5.6 或更早版本,可改用:DELETE FROM mysql.user WHERE user = '';,之后必须执行 FLUSH PRIVILEGES;
防止匿名用户再生
匿名用户通常源于初始化未设 root 密码、或使用 mysql_secure_installation 脚本前手动创建了空用户。预防措施包括:
- 安装后第一时间运行 mysql_secure_installation,它会自动移除匿名用户、禁用远程 root 登录、删除 test 库
- 避免在 CREATE USER 或 GRANT 时省略用户名,如不要写
GRANT ALL ON *.* TO '@localhost'; - 严格管控 mysql.user 表写入权限,普通应用账号不应拥有该表的 INSERT/DELETE 权限
验证与加固建议
执行完清理后,再次运行 SELECT user, host FROM mysql.user; 确认无空 user 记录。
进一步提升安全性可补充以下操作:
- 限制 root 用户仅允许本地登录:UPDATE mysql.user SET host=’localhost’ WHERE user=’root’ AND host!=’localhost’; FLUSH PRIVILEGES;
- 为所有生产用户设置强密码,并避免使用 % 通配 host,尽量指定具体 IP 或子网
- 定期审计用户列表,可将
SELECT user,host,authentication_string,account_locked FROM mysql.user;加入运维巡检脚本