Linux SQLAdmin权限如何管理

Linux 环境下 SQLAdmin 权限管理

一 管理范围与总体原则

• 在 Linux 上，“SQLAdmin”通常指两类主体：
  1. 操作系统级的 sqladmin 系统用户（用于登录服务器、执行备份/维护脚本）；
  2. 数据库内的 sqladmin 数据库账户（用于连接 MySQL/PostgreSQL 执行 DDL/DML）。
• 建议遵循：
  • 最小权限原则：日常运维避免使用数据库 root；按需授予到库/表/列。
  • 职责分离：系统级 sqladmin 仅授予必要的 sudo 权限；数据库账户按业务域拆分。
  • 可审计与可回滚：变更前备份，变更后留存审计记录与回滚方案。

二 操作系统级 sqladmin 用户管理

• 创建系统与 sudo 权限
  • 创建系统用户：sudo useradd -m -s /bin/bash sqladmin
  • 设置密码：sudo passwd sqladmin
  • 加入管理员组（CentOS/RHEL）：sudo usermod -aG wheel sqladmin
  • 安全编辑 sudoers：sudo visudo，为 sqladmin 配置精确命令白名单（避免直接 ALL）
• 目录与文件权限
  • 数据目录（如 /var/lib/mysql）属主/属组：chown -R mysql:mysql /var/lib/mysql；权限一般为 750
  • 配置文件（如 /etc/my.cnf）属主/属组：chown root:mysql /etc/my.cnf；权限 640
  • 备份目录（如 /opt/backup）：chown sqladmin:sqladmin /opt/backup && chmod 700 /opt/backup
• 资源与登录安全
  • 资源限制：在 /etc/security/limits.conf 为 sqladmin 设置 nofile、nproc 等上限
  • 登录安全：禁止 root 远程登录，仅允许 sqladmin 通过 SSH 密钥登录，禁用密码登录
• 审计与日志
  • 关键日志：/var/log/messages、/var/log/secure、/var/log/mysqld.log；实时查看可用 journalctl -f -u mysqld
  • 审计：启用 auditd 记录关键文件与命令，或采用堡垒机/跳板机集中审计
    以上做法有助于将系统级权限与数据库权限解耦，降低误操作与提权风险。

三 数据库级 sqladmin 账户管理

• 通用安全基线
  • 强密码策略、定期轮换；限制来源 IP（如仅内网网段）；启用 SSL/TLS 加密连接；按需开放防火墙端口（MySQL 3306、PostgreSQL 5432）
• MySQL/MariaDB 示例
  • 本地管理账户（推荐）：
    • CREATE USER 'sqladmin'@'localhost' IDENTIFIED BY 'StrongPass!';
    • GRANT ALL PRIVILEGES ON *.* TO 'sqladmin'@'localhost' WITH GRANT OPTION;
  • 远程管理账户（严格限制来源）：
    • CREATE USER 'sqladmin'@'10.0.0.%' IDENTIFIED BY 'StrongPass!';
    • GRANT ALL PRIVILEGES ON *.* TO 'sqladmin'@'10.0.0.%' WITH GRANT OPTION;
  • 按库授权（最小权限）：
    • GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER ON mydb.* TO 'sqladmin'@'localhost';
  • 使权限生效：FLUSH PRIVILEGES;
• PostgreSQL 示例
  • 超级用户（仅限受控环境）：
    • CREATE ROLE sqladmin WITH LOGIN PASSWORD 'StrongPass!' SUPERUSER CREATEDB CREATEROLE INHERIT;
  • 受限管理员（生产推荐）：
    • CREATE ROLE sqladmin WITH LOGIN PASSWORD 'StrongPass!' CREATEDB CREATEROLE INHERIT;
    • 按需 GRANT 到具体数据库/模式/表，避免使用 SUPERUSER
• 防火墙放行示例
  • MySQL：sudo firewall-cmd --permanent --add-port=3306/tcp && sudo firewall-cmd --reload
  • PostgreSQL：sudo firewall-cmd --permanent --add-port=5432/tcp && sudo firewall-cmd --reload
    以上示例覆盖从“全权管理员”到“按库授权”的常见场景，便于在不同安全等级下选择合适的授权粒度。

四 常见场景与命令清单

• 场景一：仅本地维护的 MySQL 管理员
  • 创建：CREATE USER 'sqladmin'@'localhost' IDENTIFIED BY '...';
  • 授权：GRANT ALL PRIVILEGES ON *.* TO 'sqladmin'@'localhost' WITH GRANT OPTION;
  • 生效：FLUSH PRIVILEGES;
• 场景二：跨网段远程维护（限制网段）
  • 创建：CREATE USER 'sqladmin'@'192.168.1.%' IDENTIFIED BY '...';
  • 授权：GRANT ALL PRIVILEGES ON *.* TO 'sqladmin'@'192.168.1.%' WITH GRANT OPTION;
  • 生效：FLUSH PRIVILEGES;
• 场景三：按库授权的 PostgreSQL 管理员
  • 创建：CREATE ROLE sqladmin WITH LOGIN PASSWORD '...' CREATEDB CREATEROLE INHERIT;
  • 授权：GRANT ALL PRIVILEGES ON DATABASE mydb TO sqladmin;
  • 按需对模式/表进一步 GRANT
• 场景四：系统级 sqladmin 执行备份
  • 备份：mysqldump -u sqladmin -p --single-transaction --routines --triggers --databases mydb > /opt/backup/mydb_$(date +%F).sql
  • 恢复：mysql -u sqladmin -p < /opt/backup/mydb_2025-11-20.sql
    以上命令可直接用于初始化与日常运维，建议结合脚本与定时任务实现自动化与留痕。

五 安全加固与审计要点

• 账户与网络
  • 禁止 root 远程登录；数据库账户仅允许来自跳板机/内网的来源 IP；为 sqladmin 配置专用账户与强口令
• 传输与存储
  • 启用 SSL/TLS 连接；备份文件加密存储并设置保留周期与异地副本
• SELinux/AppArmor
  • SELinux 启用时，必要时调整策略（如网络访问布尔值）；AppArmor 对 mysqld/postgres 配置最小化配置集
• 审计与监控
  • 启用数据库审计插件/功能，记录 DDL/DML 与登录失败；系统层面使用 auditd/journalctl 留存关键操作
  • 定期巡检用户权限与异常登录，及时回收不再使用的账户
    这些实践可显著提升数据库与系统的整体安全态势与可运维性。