Debian数据库安全加固（从零开始的Linux数据库防护指南）

一、更新系统与数据库软件

首先，确保你的 Debian 系统和数据库软件是最新版本，以修复已知漏洞：

# 更新系统包列表sudo apt update# 升级所有已安装的软件包sudo apt upgrade -y# 如果你使用的是 MySQLsudo apt install mysql-server -y# 如果你使用的是 PostgreSQLsudo apt install postgresql postgresql-contrib -y

二、禁用默认账户与删除测试数据库

许多数据库安装后会自带测试账户或示例数据库，这些是安全隐患，应立即清理。

MySQL 安全加固

运行 MySQL 自带的安全脚本：

sudo mysql_secure_installation

该脚本会引导你完成以下操作：

• 设置 root 密码
• 移除匿名用户
• 禁止 root 远程登录
• 删除 test 数据库
• 刷新权限表

PostgreSQL 安全加固

PostgreSQL 默认不允许远程 root 登录，但仍需修改默认密码：

sudo -u postgres psql-- 在 PostgreSQL 命令行中执行：ALTER USER postgres PASSWORD '你的强密码';\q

三、配置防火墙限制访问

使用 ufw（Uncomplicated Firewall）限制数据库端口仅允许可信 IP 访问。

# 启用 ufwsudo ufw enable# 仅允许本地和特定 IP（例如 192.168.1.100）访问 MySQL（端口 3306）sudo ufw allow from 127.0.0.1 to any port 3306sudo ufw allow from 192.168.1.100 to any port 3306# 对于 PostgreSQL（端口 5432）sudo ufw allow from 127.0.0.1 to any port 5432sudo ufw allow from 192.168.1.100 to any port 5432

四、启用日志审计与定期备份

开启数据库日志功能有助于追踪异常行为。同时，定期备份是灾难恢复的关键。

MySQL 日志配置（编辑 /etc/mysql/mysql.conf.d/mysqld.cnf）：

[mysqld]general_log = 1general_log_file = /var/log/mysql/general.loglog_error = /var/log/mysql/error.logslow_query_log = 1slow_query_log_file = /var/log/mysql/slow.log

PostgreSQL 日志配置（编辑 /etc/postgresql/*/main/postgresql.conf）：

logging_collector = onlog_directory = 'log'log_filename = 'postgresql-%Y-%m-%d_%H%M%S.log'log_statement = 'all'  # 可设为 'mod' 或 'ddl' 以减少日志量

配置好后重启服务使配置生效：

sudo systemctl restart mysql# 或sudo systemctl restart postgresql

五、总结

通过以上步骤，你可以显著提升 Debian 系统上数据库的安全性。记住，Debian数据库安全加固 不是一次性任务，而是一个持续的过程。建议定期审查权限、更新补丁、监控日志，并结合 MySQL安全配置 或 PostgreSQL安全设置 的最佳实践，构建更健壮的 Linux数据库防护 体系。

安全无小事，从细节做起，守护你的数据资产！