En Debian y derivados, el paquete mysql-server incluye el script Perl mysql_secure_installation, el cual permite mejorar la seguridad de la instalación por defecto. Es recomendable correr este script en todas las instalaciones de servidores MySQL para sistemas en producción.

El script mysql_secure_installation ayuda a implementar las recomendaciones de seguridad que se describen en la sección 2.10.4 Securing the Initial MySQL Accounts del manual de MySQL. Entre las tareas de hardening que implementa, este script permite mejorar la seguridad de una instalación por defecto de MySQL de la siguiente forma:

  • Cambiar la contraseña del usuario "root".
  • Deshabilitar el acceso remoto para el usuario "root".
  • Eliminar cuentas de usuario anónimas que pueden ingresar sin necesidad de una contraseña.
  • Eliminar la base de datos "test" (si existe), y todo privilegio que permita a cualquier usuario el acceso a bases de datos cuyos nombres comienzan con "test_".

Ejecución del script

Lanzar el script:

root@devuan:~# mysql_secure_installation




NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MySQL
      SERVERS IN PRODUCTION USE!  PLEASE READ EACH STEP CAREFULLY!

El primer paso consiste en establecer la contraseña del usuario "root". Si la misma ha sido correctamente configurada durante la instalación del paquete mysql-server, se debe omitir este paso:

In order to log into MySQL to secure it, we'll need the current
password for the root user.  If you've just installed MySQL, and
you haven't set the root password yet, the password will be blank,
so you should just press enter here.

Enter current password for root (enter for none): 
OK, successfully used password, moving on...

Setting the root password ensures that nobody can log into the MySQL
root user without the proper authorisation.

You already have a root password set, so you can safely answer 'n'.

Change the root password? [Y/n] n
 ... skipping.

Luego se elimina el usuario anónimo que permite a cualquiera ingresar al servidor MySQL sin contar con una cuenta de usuario:

By default, a MySQL installation has an anonymous user, allowing anyone
to log into MySQL without having to have a user account created for
them.  This is intended only for testing, and to make the installation
go a bit smoother.  You should remove them before moving into a
production environment.

Remove anonymous users? [Y/n] Y
 ... Success!

A continuación, se deshabilita el acceso desde hosts remotos para el usuario "root":

Normally, root should only be allowed to connect from 'localhost'.  This
ensures that someone cannot guess at the root password from the network.

Disallow root login remotely? [Y/n] Y
 ... Success!

Luego se elimina la base de datos "test" y los privilegios de acceso a la misma:

By default, MySQL comes with a database named 'test' that anyone can
access.  This is also intended only for testing, and should be removed
before moving into a production environment.

Remove test database and access to it? [Y/n] Y
 - Dropping test database...
ERROR 1008 (HY000) at line 1: Can't drop database 'test'; database doesn't exist
 ... Failed!  Not critical, keep moving...
 - Removing privileges on test database...
 ... Success!

Si esta base no ha sido creada durante la instalación del servidor, arroja un error pero continúa normalmente.

Finalmente se realiza un flush de privilegios para que estos tomen efecto inmediatamente:

Reloading the privilege tables will ensure that all changes made so far
will take effect immediately.

Reload privilege tables now? [Y/n] Y       
 ... Success!

Todo listo. El servidor MySQL es ahora un poco más seguro:

Cleaning up...



All done!  If you've completed all of the above steps, your MySQL
installation should now be secure.

Thanks for using MySQL!



Tal vez pueda interesarte


Compartí este artículo