如果别人知道我的 mysql 用户名和密码，能够入侵我的服务器吗？

既然发现了问题，为什么不首先想到改密码？而是在 v2 发个帖？

@KingEngine 改密码肯定会啊，只是很好奇这种问题能造成多大的伤害，以及大家都是怎么做的。

mysql 设置白名单 ip， 只允许 服务器 ip 访问， 这样安全性就会提升很多

， 如果你 mysql 谁都可以链接， 然后密码还暴露了， 人家拿到密码，你的所有数据都暴露无遗了

你的 MySQL 是外网也能访问吗......通常这种服务基础服务都是只有集群内网才能访问啊。

没有 block 外网访问的话肯定死翘翘啊，或者正好你们内网早就被人入侵过但是苦于无法提权，你这正还给了一个突破口。

那要看 mysql 的权限，还有 mysql 账户的权限
如果 mysql 是用 root 运行的，然后 mysql 账号也有 load_file 或 outfile 的话，那基本都能入侵你服务器

@GoLand 个人服务器，刚开始学 java，mysql

@markgor 懂了，谢谢大佬

正常做法：
mysql 创建独立的系统账号，严格控制权限体系，根据业务需求对指定的文件给予读写或只读权限。
mysql 内部的账号也做好权限划分，只给予业务所需的功能权限。

通过设定白名单，只允许本地访问或指定的 ip 链接（业务机器 ip 和堡垒机 ip ）进行访问
mysql 整台机禁止外网连接
增加数据审核功能（ mysql 有相关的插件，不过性能一般）

上面做法也是等保要求 3 级的做法

不要传服务器配置文件到公网

看权限 能写文件的话就直接写 shell 了

我前不久也想过这个问题，参照下面链接
https://www.v2ex.com/t/74245

你这不是废话吗

@find456789 #3
@GoLand #4
@markgor #6
他连配置文件不上传都不知道，这么高深的东西更不可能懂

设置禁止远程登录就是了.
只允许内网 ip 登录

拔网线啊

@zhuawadao 哈哈，按文件要求的确是这样
如果有重要事件发生，必须第一时间切断物理上的连接，
然后报警，
再检查日志和数据的完整。

有很多情况需要检查。比如，
你 MySQL 监听外网了吗。
你 MySQL 运行在 root 上了吗。
你泄露的账号密码是全球都可以登录的吗。
你防火墙开了吗。
等等，各种。不同的设置造成的后果严重性也各不相同。

上一家公司运维为了省事儿，
服务器 mysql 直接暴露公网，
而且还是 root 用户可以直接访问，
密码用的 enpass 随机生成的 32 位字符串不知可不可行。。。。
（针对业务系统，还是做了数据库用户的权限区分限制的，localhost 访问。）

微软的 sql server 可以，上大学时候机房默认装着，弱密码，可以用工具装木马

那相当于把服务器地址也暴露了吧，如果数据库和 tomcat 在同一台机子