Sqladmin在Ubuntu上的安全设置

Ubuntu上 SQLAdmin 的安全设置

一 身份与访问控制

• 创建专用的管理用户（如：sqladmin），避免直接使用root远程登录；为 sudo 权限采用最小权限原则，仅授予必要命令。示例：sudo adduser sqladmin、sudo usermod -aG sudo sqladmin。
• 强化 SSH：禁用 root 登录（PermitRootLogin no）、启用公钥认证（PubkeyAuthentication yes）、将 MaxAuthTries 设为 3–6、配置 ClientAliveInterval 与 ClientAliveCountMax 以自动断开空闲会话。
• 配置 UFW 防火墙，仅放行必要端口（如 SSH 22、SQLAdmin 端口如 8080/80/443）：sudo ufw allow 22、sudo ufw allow 80、sudo ufw allow 443、sudo ufw enable。
• 启用 Fail2Ban 防止暴力破解，结合日志监控工具（如 Logwatch）进行异常审计。

二 数据库与凭据安全

• 为应用与 SQLAdmin 分别创建最小权限的数据库账户，避免使用 root@% 远程连接；按需授予权限并使用 FLUSH PRIVILEGES; 使权限生效。
• 强制使用强密码策略：在 /etc/login.defs 中设置 PASS_MIN_DAYS 7、PASS_WARN_AGE 7，并定期更换密码。
• 禁止非必要用户使用 su 切换到 root：在 /etc/login.defs 启用 SU_WHEEL_ONLY，并在 /etc/pam.d/su 中限制仅 wheel/sudo 组可 su。
• 保护配置文件与凭据：确保包含数据库密码的配置文件权限为仅所有者可读（如 600），属主为 sqladmin；目录权限建议 700。

三 服务与网络安全

• 更改 SQLAdmin 默认监听端口与绑定地址，避免使用 8080/80 等常见端口；仅在内网或受控网络暴露服务，生产环境建议置于反向代理或内网。
• 启用 HTTPS/TLS：为域名申请证书（如 Let’s Encrypt），通过反向代理（Nginx/Apache）或内置配置开启 TLS，禁用明文 HTTP 访问。
• 限制数据库访问来源：数据库服务器应仅允许来自运行 SQLAdmin 的主机访问（如通过防火墙或数据库自身的 host 白名单），避免 0.0.0.0/0 暴露。
• 保持系统与依赖更新：定期执行 sudo apt update && sudo apt upgrade，并启用 unattended-upgrades 自动安装安全补丁。

四 备份与审计

• 定期备份数据库与配置：使用 mysqldump 进行逻辑备份，例如：mysqldump -u your_username -p your_database > backup.sql；重要备份应加密并异地/离线保存。
• 全量/增量系统备份：结合 rsync、tar 等工具进行文件系统级备份，示例：rsync -aAXv --exclude={"/dev/*","/proc/*","/sys/*","/tmp/*","/run/*","/mnt/*","/media/*","/lost+found"} / /backup/fs/。
• 审计与告警：启用 Fail2Ban 自动封禁暴力破解来源，使用 Logwatch 定期汇总日志，必要时接入集中化监控/告警平台。

五 快速检查清单