Cấu Hình Bảo Mật MySQL Trên Linux

Giới Thiệu

MySQL là một trong những hệ quản trị cơ sở dữ liệu (DBMS) phổ biến nhất trên thế giới. Tuy nhiên, nếu không được cấu hình bảo mật đúng cách, máy chủ MySQL có thể trở thành mục tiêu dễ dàng cho các cuộc tấn công mạng, dẫn đến mất mát hoặc rò rỉ dữ liệu nhạy cảm. Bài viết này sẽ hướng dẫn bạn các bước cần thiết để cấu hình bảo mật MySQL trên hệ điều hành Linux, giúp bảo vệ dữ liệu của bạn khỏi các mối đe dọa tiềm tàng.

📋 Thời gian: 30-45 phút | Độ khó: Trung bình

Yêu Cầu

Để thực hiện theo hướng dẫn này, bạn cần có:

• Một máy chủ Linux (Ubuntu, CentOS, Debian, v.v.) đã cài đặt MySQL/MariaDB.
• Quyền truy cập root hoặc tài khoản có quyền sudo.
• Kiến thức cơ bản về dòng lệnh Linux.

Các Bước Thực Hiện

Bước 1: Cập Nhật Hệ Thống và MySQL

Luôn đảm bảo hệ điều hành và MySQL của bạn được cập nhật lên phiên bản mới nhất. Các bản cập nhật thường bao gồm các bản vá bảo mật quan trọng.

# Đối với hệ thống Debian/Ubuntu
sudo apt update
sudo apt upgrade -y

# Đối với hệ thống CentOS/RHEL
sudo yum update -y

Sau khi cập nhật, khởi động lại MySQL để áp dụng các thay đổi nếu cần.

# Đối với systemd (phổ biến trên hầu hết các bản phân phối hiện đại)
sudo systemctl restart mysql
# Hoặc
sudo systemctl restart mariadb

Bước 2: Chạy mysql_secure_installation

Đây là công cụ quan trọng nhất để thiết lập bảo mật cơ bản cho MySQL. Nó sẽ hướng dẫn bạn qua một loạt các câu hỏi để cải thiện bảo mật.

sudo mysql_secure_installation

Bạn sẽ được yêu cầu thực hiện các bước sau:

1. VALIDATE PASSWORD COMPONENT:
   • Bạn có muốn cài đặt plugin này không? (Khuyến nghị: Y để tăng cường độ phức tạp của mật khẩu).
   • Chọn cấp độ phức tạp cho mật khẩu (LOW, MEDIUM, STRONG). Khuyến nghị: MEDIUM hoặc STRONG.
2. Set root password?:
   • Nếu bạn chưa đặt mật khẩu root, hãy đặt ngay bây giờ. Nếu đã có, bạn có thể thay đổi hoặc giữ nguyên.
   • ⚠️ Quan trọng: Sử dụng mật khẩu mạnh, phức tạp.
3. Remove anonymous users?:
   • Y. Người dùng ẩn danh không có mật khẩu có thể truy cập cơ sở dữ liệu.
4. Disallow root login remotely?:
   • Y. Không cho phép người dùng root kết nối từ xa. Điều này buộc bạn phải đăng nhập bằng SSH trước, sau đó mới truy cập MySQL với quyền root cục bộ.
5. Remove test database and access to it?:
   • Y. Cơ sở dữ liệu test được tạo mặc định và không an toàn.
6. Reload privilege tables now?:
   • Y. Áp dụng các thay đổi quyền ngay lập tức.

✅ Sau khi hoàn thành, MySQL của bạn đã có một lớp bảo mật cơ bản vững chắc.

Bước 3: Cấu Hình Quyền Người Dùng (User Privileges)

Nguyên tắc "ít đặc quyền nhất" (Principle of Least Privilege) là rất quan trọng. Mỗi ứng dụng hoặc người dùng chỉ nên có các quyền tối thiểu cần thiết để thực hiện công việc của họ.

1. Tạo người dùng mới và cấp quyền cụ thể: Thay vì dùng root cho ứng dụng, hãy tạo người dùng riêng.

   -- Đăng nhập vào MySQL với quyền root
   mysql -u root -p
   
   -- Tạo người dùng mới và đặt mật khẩu mạnh
   CREATE USER 'myuser'@'localhost' IDENTIFIED BY 'MatKhauCuaBanCucManh!';
   
   -- Cấp quyền cho người dùng trên một cơ sở dữ liệu cụ thể
   GRANT SELECT, INSERT, UPDATE, DELETE ON mydatabase.* TO 'myuser'@'localhost';
   
   -- Nếu cần quyền từ xa (ít khuyến nghị hơn, chỉ khi thực sự cần)
   -- GRANT SELECT, INSERT, UPDATE, DELETE ON mydatabase.* TO 'myuser'@'%';
   
   -- Áp dụng các thay đổi quyền
   FLUSH PRIVILEGES;
   
   -- Thoát MySQL
   EXIT;

   💡 Mẹo: Thay myuser, localhost, mydatabase và MatKhauCuaBanCucManh! bằng các giá trị phù hợp với bộn. Sử dụng localhost hoặc địa chỉ IP cụ thể thay vì % để hạn chế kết nối.

2. Xóa người dùng không cần thiết: Kiểm tra và xóa bất kỳ người dùng nào không còn được sử dụng.

   mysql -u root -p
   SELECT User, Host FROM mysql.user;
   -- Nếu có người dùng không cần thiết, hãy xóa họ
   -- DROP USER 'olduser'@'localhost';
   FLUSH PRIVILEGES;
   EXIT;

Bước 4: Bảo Mật Kết Nối Với SSL/TLS

Mã hóa các kết nối đến MySQL bằng SSL/TLS để ngăn chặn việc nghe lén và giả mạo.

1. Kiểm tra trạng thái SSL/TLS:

   mysql -u root -p
   SHOW VARIABLES LIKE '%ssl%';

   Nếu have_ssl là NO hoặc DISABLED, bạn cần cấu hình nó.

2. Tạo chứng chỉ SSL/TLS (Nếu chưa có): Bạn có thể tự tạo chứng chỉ (self-signed) hoặc sử dụng chứng chỉ từ Certificate Authority (CA). Việc tạo chứng chỉ tự ký thường được thực hiện như sau:

   sudo openssl genrsa 2048 > ca-key.pem
   sudo openssl req -new -x509 -nodes -days 36500 -key ca-key.pem -out ca.pem
   sudo openssl req -newkey rsa:2048 -days 36500 -nodes -keyout server-key.pem -out server-req.pem
   sudo openssl x509 -req -in server-req.pem -days 36500 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
   sudo openssl req -newkey rsa:2048 -days 36500 -nodes -keyout client-key.pem -out client-req.pem
   sudo openssl x509 -req -in client-req.pem -days 36500 -CA ca.pem -CAkey ca-key.pem -set_serial 02 -out client-cert.pem

   Di chuyển các tệp này vào một thư mục an toàn, ví dụ: /etc/mysql/certs/.

3. Cấu hình MySQL sử dụng SSL/TLS trong my.cnf: Chỉnh sửa tệp cấu hình MySQL chính (thường là /etc/mysql/mysql.conf.d/mysqld.cnf hoặc /etc/my.cnf).

   sudo nano /etc/mysql/mysql.conf.d/mysqld.cnf

   Thêm hoặc chỉnh sửa các dòng sau trong phần [mysqld]:

   [mysqld]
   ssl-ca=/etc/mysql/certs/ca.pem
   ssl-cert=/etc/mysql/certs/server-cert.pem
   ssl-key=/etc/mysql/certs/server-key.pem

   Lưu và đóng tệp, sau đó khởi động lại MySQL.

   sudo systemctl restart mysql

   Kiểm tra lại trạng thái SSL/TLS. have_ssl phải là YES.

Bước 5: Cấu Hình Tệp my.cnf để Tăng Cường Bảo Mật

Tệp my.cnf (hoặc các tệp cấu hình tương tự như mysqld.cnf) chứa nhiều tùy chọn quan trọng để bảo mật.

1. Hạn chế kết nối từ xa (Bind Address): Nếu MySQL chỉ cần được truy cập cục bộ, hãy ràng buộc nó với 127.0.0.1 hoặc localhost.

   sudo nano /etc/mysql/mysql.conf.d/mysqld.cnf

   Tìm dòng bind-address và đặt nó như sau:

   bind-address = 127.0.0.1

   Nếu cần truy cập từ một IP cụ thể, hãy thay đổi thành IP đó hoặc 0.0.0.0 (cho phép tất cả, nhưng phải đi kèm với tường lửa mạnh).

2. Vô hiệu hóa kết nối mạng (Nếu chỉ dùng socket): Nếu ứng dụng của bạn chỉ kết nối qua Unix socket (ví dụ: trên cùng một máy chủ), bạn có thể vô hiệu hóa hoàn toàn kết nối TCP/IP.

   skip-networking

3. Bật Log lỗi: Theo dõi lỗi là cần thiết để phát hiện các vấn đề bảo mật.

   log_error = /var/log/mysql/error.log

4. Vô hiệu hóa General Query Log và Slow Query Log khi không cần thiết: Các log này có thể chứa dữ liệu nhạy cảm. Chỉ bật khi gỡ lỗi.

   # general_log_file = /var/log/mysql/mysql.log
   # general_log = 0
   # slow_query_log_file = /var/log/mysql/mysql-slow.log
   # slow_query_log = 0

   Lưu và khởi động lại MySQL sau khi thay đổi.

Bước 6: Cấu Hình Tường Lửa

Tường lửa là tuyến phòng thủ đầu tiên, kiểm soát ai có thể kết nối đến máy chủ MySQL của bạn.

1. Đối với UFW (Uncomplicated Firewall) trên Ubuntu/Debian: Mặc định, MySQL sử dụng cổng 3306.

   # Từ chối tất cả các kết nối đến cổng MySQL
   sudo ufw deny 3306
   
   # Cho phép kết nối từ một IP cụ thể (ví dụ: IP của máy chủ ứng dụng)
   sudo ufw allow from 192.168.1.100 to any port 3306
   
   # Hoặc cho phép từ một dải IP
   # sudo ufw allow from 192.168.1.0/24 to any port 3306
   
   # Kích hoạt tường lửa nếu chưa
   sudo ufw enable
   sudo ufw status

2. Đối với firewalld trên CentOS/RHEL:

   # Từ chối dịch vụ MySQL
   sudo firewall-cmd --permanent --remove-service=mysql
   
   # Cho phép kết nối từ một IP cụ thể
   sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="3306" protocol="tcp" accept'
   
   # Tải lại cấu hình tường lửa
   sudo firewall-cmd --reload
   sudo firewall-cmd --list-all

   ⚠️ Cảnh báo: Đảm bảo bạn chỉ mở cổng 3306 cho các địa chỉ IP đáng tin cậy.

Troubleshooting

• Lỗi Access denied for user 'root'@'localhost':

  • Nguyên nhân: Sai mật khẩu, hoặc quyền root bị hạn chế.
  • Giải pháp: Kiểm tra lại mật khẩu. Nếu quên, bạn có thể đặt lại mật khẩu root MySQL bằng cách khởi động MySQL ở chế độ an toàn (skip-grant-tables).

    # Dừng MySQL
    sudo systemctl stop mysql
    
    # Khởi động ở chế độ an toàn
    sudo mysqld_safe --skip-grant-tables &
    
    # Đăng nhập không cần mật khẩu
    mysql -u root
    
    # Đặt lại mật khẩu
    ALTER USER 'root'@'localhost' IDENTIFIED BY 'MatKhauMoiCucManh!';
    FLUSH PRIVILEGES;
    EXIT;
    
    # Dừng MySQL an toàn và khởi động lại bình thường
    sudo killall mysqld_safe
    sudo systemctl start mysql

• Lỗi Can't connect to MySQL server on '127.0.0.1' (111) hoặc tương tự:

  • Nguyên nhân: MySQL chưa chạy, tường lửa chặn kết nối, hoặc bind-address cấu hình sai.
  • Giải pháp:
    • Kiểm tra trạng thái MySQL: sudo systemctl status mysql.
    • Kiểm tra cấu hình tường lửa (ufw status hoặc firewall-cmd --list-all).
    • Kiểm tra bind-address trong my.cnf.

• Lỗi SSL/TLS không hoạt động:

  • Nguyên nhân: Đường dẫn chứng chỉ sai, quyền truy cập tệp chứng chỉ không đúng, hoặc MySQL không được khởi động lại.
  • Giải pháp:
    • Đảm bảo đường dẫn trong my.cnf chính xác.
    • Kiểm tra quyền của các tệp .pem (chỉ mysql user hoặc root mới nên đọc được).
    • Khởi động lại MySQL: sudo systemctl restart mysql.

Kết Luận

Bảo mật MySQL là một quá trình liên tục và cần sự chú ý. Bằng cách thực hiện các bước trong hướng dẫn này, bạn đã thiết lập một nền tảng bảo mật vững chắc cho cơ sở dữ liệu của mình.

Best practices (Thực hành tốt nhất):

• Cập nhật thường xuyên: Luôn giữ MySQL và hệ điều hành của bạn được cập nhật.
• Mật khẩu mạnh: Sử dụng mật khẩu phức tạp, dài và duy nhất cho tất cả các tài khoản MySQL.
• Nguyên tắc ít đặc quyền: Chỉ cấp các quyền tối thiểu cần thiết cho mỗi người dùng.
• Mã hóa kết nối: Luôn sử dụng SSL/TLS cho các kết nối từ xa.
• Tường lửa: Hạn chế truy cập cổng MySQL chỉ từ các địa chỉ IP đáng tin cậy.
• Kiểm tra và giám sát: Thường xuyên kiểm tra log và giám sát hoạt động của cơ sở dữ liệu để phát hiện các dấu hiệu bất thường.
• Sao lưu định kỳ: Đảm bảo bạn có các bản sao lưu dữ liệu thường xuyên và an toàn.

Việc tuân thủ các thực hành bảo mật này sẽ giúp bảo vệ dữ liệu quý giá của bạn khỏi các mối đe dọa tiềm ẩn.