MySQL 9.0 发行说明
此程序使您能够通过以下方式提高 MySQL 安装的安全性:
您可以为
root帐户设置密码。您可以删除可以从本地主机外部访问的
root帐户。您可以删除匿名用户帐户。
您可以删除
test数据库(默认情况下,所有用户(甚至是匿名用户)都可以访问该数据库)以及允许任何人访问名称以test_开头的数据库的权限。
mysql_secure_installation 帮助您实施类似于 第 2.9.4 节“保护初始 MySQL 帐户” 中描述的安全建议。
正常用法是连接到本地 MySQL 服务器;不带参数调用 mysql_secure_installation
mysql_secure_installation执行时,mysql_secure_installation 会提示您确定要执行的操作。
validate_password 组件可用于密码强度检查。如果未安装该插件,mysql_secure_installation 会提示用户是否安装它。如果启用了该插件,则稍后输入的任何密码都将使用该插件进行检查。
大多数常用的 MySQL 客户端选项(例如 --host 和 --port)都可以在命令行和选项文件中使用。例如,要使用端口 3307 通过 IPv6 连接到本地服务器,请使用以下命令
mysql_secure_installation --host=::1 --port=3307
mysql_secure_installation 支持以下选项,这些选项可以在命令行或选项文件的 [mysql_secure_installation] 和 [client] 组中指定。有关 MySQL 程序使用的选项文件的信息,请参阅 第 6.2.2.2 节“使用选项文件”。
表 6.9 mysql_secure_installation 选项
| 选项名称 | 说明 |
|---|---|
| --defaults-extra-file | 除了常用的选项文件之外,还要读取指定的选项文件 |
| --defaults-file | 只读取指定的选项文件 |
| --defaults-group-suffix | 选项组后缀值 |
| --help | 显示帮助消息并退出 |
| --host | MySQL 服务器所在的主机 |
| --no-defaults | 不读取任何选项文件 |
| --password | 接受但始终忽略。无论何时调用 mysql_secure_installation,都会提示用户输入密码,无论 |
| --port | 用于连接的 TCP/IP 端口号 |
| --print-defaults | 打印默认选项 |
| --protocol | 要使用的传输协议 |
| --socket | 要使用的 Unix 套接字文件或 Windows 命名管道 |
| --ssl-ca | 包含受信任 SSL 证书颁发机构列表的文件 |
| --ssl-capath | 包含受信任 SSL 证书颁发机构证书文件的目录 |
| --ssl-cert | 包含 X.509 证书的文件 |
| --ssl-cipher | 允许用于连接加密的密码 |
| --ssl-crl | 包含证书吊销列表的文件 |
| --ssl-crlpath | 包含证书吊销列表文件的目录 |
| --ssl-fips-mode | 是否在客户端启用 FIPS 模式 |
| --ssl-key | 包含 X.509 密钥的文件 |
| --ssl-mode | 与服务器连接的所需安全状态 |
| --ssl-session-data | 包含 SSL 会话数据的文件 |
| --ssl-session-data-continue-on-failed-reuse | 如果会话重用失败,是否建立连接 |
| --tls-ciphersuites | 允许用于加密连接的 TLSv1.3 密码套件 |
| --tls-sni-servername | 客户端提供的服务器名称 |
| --tls-version | 允许用于加密连接的 TLS 协议 |
| --use-default | 在没有用户交互的情况下执行 |
| --user | 连接到服务器时要使用的 MySQL 用户名 |
--help,-?命令行格式 --help显示帮助消息并退出。
--defaults-extra-file=file_name命令行格式 --defaults-extra-file=file_name类型 文件名 在全局选项文件之后但(在 Unix 上)在用户选项文件之前读取此选项文件。如果文件不存在或无法访问,则会发生错误。如果
file_name不是绝对路径名,则相对于当前目录解释它。有关此选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节“影响选项文件处理的命令行选项”。
-
命令行格式 --defaults-file=file_name类型 文件名 仅使用给定的选项文件。如果文件不存在或无法访问,则会发生错误。如果
file_name不是绝对路径名,则相对于当前目录解释它。有关此选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节“影响选项文件处理的命令行选项”。
-
命令行格式 --defaults-group-suffix=str类型 字符串 不仅读取常用的选项组,还读取具有常用名称和
str后缀的组。例如,mysql_secure_installation 通常会读取[client]和[mysql_secure_installation]组。如果将此选项指定为--defaults-group-suffix=_other,则 mysql_secure_installation 还会读取[client_other]和[mysql_secure_installation_other]组。有关此选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节“影响选项文件处理的命令行选项”。
--host=,host_name-hhost_name命令行格式 --host连接到指定主机上的 MySQL 服务器。
-
命令行格式 --no-defaults不读取任何选项文件。如果程序由于从选项文件中读取未知选项而启动失败,则可以使用
--no-defaults来防止读取这些选项。但
.mylogin.cnf文件例外,如果该文件存在,则在所有情况下都会读取该文件。这允许以比在命令行上更安全的方式指定密码,即使使用了--no-defaults选项也是如此。要创建.mylogin.cnf,请使用 mysql_config_editor 实用程序。请参阅 第 6.6.7 节,“mysql_config_editor — MySQL 配置实用程序”。有关此选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节“影响选项文件处理的命令行选项”。
--password=,password-ppassword命令行格式 --password=password类型 字符串 默认值 [无]此选项被接受但被忽略。无论是否使用此选项,mysql_secure_installation 始终会提示用户输入密码。
--port=,port_num-Pport_num命令行格式 --port=port_num类型 数值型 默认值 3306对于 TCP/IP 连接,要使用的端口号。
-
命令行格式 --print-defaults打印程序名称及其从选项文件中获取的所有选项。
有关此选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节“影响选项文件处理的命令行选项”。
--protocol={TCP|SOCKET|PIPE|MEMORY}命令行格式 --protocol=type类型 字符串 默认值 [参见文本]有效值 TCPSOCKETPIPEMEMORY用于连接到服务器的传输协议。当其他连接参数通常导致使用非所需协议时,此选项非常有用。有关允许值的详细信息,请参阅 第 6.2.7 节,“连接传输协议”。
--socket=,path-Spath命令行格式 --socket={file_name|pipe_name}类型 字符串 对于到
localhost的连接,要使用的 Unix 套接字文件,或者在 Windows 上,要使用的命名管道的名称。在 Windows 上,此选项仅在服务器启动时启用了
named_pipe系统变量以支持命名管道连接时才适用。此外,连接必须是named_pipe_full_access_group系统变量指定的 Windows 组的成员。以
--ssl开头的选项指定是否使用加密连接到服务器,并指示在何处查找 SSL 密钥和证书。请参阅 加密连接的命令选项。--ssl-fips-mode={OFF|ON|STRICT}命令行格式 --ssl-fips-mode={OFF|ON|STRICT}已弃用 是 类型 枚举 默认值 OFF有效值 OFFONSTRICT控制是否在客户端启用 FIPS 模式。
--ssl-fips-mode选项与其他--ssl-选项的不同之处在于,它不是用于建立加密连接,而是用于影响允许哪些加密操作。请参阅 第 8.8 节,“FIPS 支持”。xxx允许使用以下
--ssl-fips-mode值OFF:禁用 FIPS 模式。ON:启用 FIPS 模式。STRICT:启用“严格”FIPS 模式。
注意如果 OpenSSL FIPS 对象模块不可用,则
--ssl-fips-mode唯一允许的值为OFF。在这种情况下,将--ssl-fips-mode设置为ON或STRICT会导致客户端在启动时生成警告并以非 FIPS 模式运行。此选项已弃用。预计在未来版本的 MySQL 中将删除它。
--tls-ciphersuites=ciphersuite_list命令行格式 --tls-ciphersuites=ciphersuite_list类型 字符串 使用 TLSv1.3 的加密连接允许使用的密码套件。该值是一个或多个以冒号分隔的密码套件名称的列表。可以为此选项命名的密码套件取决于用于编译 MySQL 的 SSL 库。有关详细信息,请参阅 第 8.3.2 节,“加密连接 TLS 协议和密码”。
--tls-sni-servername=server_name命令行格式 --tls-sni-servername=server_name类型 字符串 指定后,该名称将使用
mysql_options()的MYSQL_OPT_TLS_SNI_SERVERNAME选项传递给libmysqlclientC API 库。服务器名称不区分大小写。要显示客户端为当前会话指定的服务器名称(如果有),请检查Tls_sni_server_name状态变量。服务器名称指示 (SNI) 是 TLS 协议的扩展(必须使用 TLS 扩展编译 OpenSSL 才能使此选项起作用)。MySQL 对 SNI 的实现仅代表客户端。
-
命令行格式 --tls-version=protocol_list类型 字符串 默认值 TLSv1,TLSv1.1,TLSv1.2,TLSv1.3(OpenSSL 1.1.1 或更高版本)TLSv1,TLSv1.1,TLSv1.2(其他版本)加密连接允许使用的 TLS 协议。该值是一个或多个以逗号分隔的协议名称的列表。可以为此选项命名的协议取决于用于编译 MySQL 的 SSL 库。有关详细信息,请参阅 第 8.3.2 节,“加密连接 TLS 协议和密码”。
-
命令行格式 --use-default类型 布尔型 以非交互方式执行。此选项可用于无人值守安装操作。
--user=,user_name-uuser_name命令行格式 --user=user_name类型 字符串 用于连接到服务器的 MySQL 帐户的用户名。