MySQL的密码安全配置是数据库运维的基础工作,其中启用密码复杂度策略能够有效避免用户设置过于简单的密码,减少数据库被非法访问的风险。MySQL从5.6版本开始内置了validate_password插件,专门用于实现密码复杂度校验功能。
密码复杂度策略的作用
未启用密码复杂度策略时,用户可以将密码设置为纯数字、纯字母或者长度极短的字符串,这类弱密码很容易被字典攻击或暴力破解。启用策略后,MySQL会在用户创建账号或修改密码时自动校验密码是否符合预设规则,不符合要求的密码会被直接拒绝,从源头提升密码安全性。
启用密码复杂度插件
首先需要确认MySQL是否加载了validate_password插件,不同MySQL版本的操作方式略有差异。
查看插件状态
登录MySQL后执行以下命令查看已加载的插件:
-- 查看所有已安装的插件 SHOW PLUGINS; -- 也可以通过系统表查询validate_password相关插件状态 SELECT PLUGIN_NAME, PLUGIN_STATUS FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE 'validate_password';
如果查询结果中没有validate_password相关的记录,说明插件还未加载,需要手动安装。
安装validate_password插件
执行以下命令安装插件:
-- 安装validate_password插件 INSTALL PLUGIN validate_password SONAME 'validate_password.so'; -- Windows系统下使用对应的dll文件 -- INSTALL PLUGIN validate_password SONAME 'validate_password.dll';
安装完成后再次执行查看插件的命令,确认插件状态为ACTIVE即可。
配置密码复杂度参数
插件启用后,可以通过修改系统变量调整密码复杂度的校验规则,常用的参数如下:
| 参数名 | 默认值 | 说明 |
|---|---|---|
| validate_password.length | 8 | 密码的最小长度,最小值为0,实际生效值会结合其他字符类型要求调整 |
| validate_password.policy | MEDIUM | 密码强度策略,可选值有LOW、MEDIUM、STRONG,数值越高校验越严格 |
| validate_password.number_count | 1 | 密码中至少需要包含的数字个数 |
| validate_password.special_char_count | 1 | 密码中至少需要包含的特殊字符个数 |
| validate_password.mixed_case_count | 1 | 密码中至少需要包含的大小写字母个数,LOW策略下不校验此项 |
修改参数示例
如果需要设置密码最小长度为10,必须包含2个数字、1个特殊字符,强度策略为MEDIUM,可以执行以下命令:
-- 设置密码最小长度 SET GLOBAL validate_password.length = 10; -- 设置密码强度策略为MEDIUM SET GLOBAL validate_password.policy = MEDIUM; -- 设置至少需要2个数字 SET GLOBAL validate_password.number_count = 2; -- 设置至少需要1个特殊字符 SET GLOBAL validate_password.special_char_count = 1;
如果需要让配置永久生效,需要将上述参数添加到MySQL的配置文件my.cnf(Linux系统)或my.ini(Windows系统)的[mysqld]段落下:
[mysqld] validate_password.length=10 validate_password.policy=MEDIUM validate_password.number_count=2 validate_password.special_char_count=1
修改配置文件后重启MySQL服务即可生效。
验证策略是否生效
配置完成后可以测试密码策略是否正常工作,尝试创建一个使用弱密码的用户:
-- 尝试创建弱密码用户,预期会报错 CREATE USER 'test_user'@'localhost' IDENTIFIED BY '123456';
如果策略生效,会返回类似ERROR 1819 (HY000): Your password does not satisfy the current policy requirements的错误提示。再尝试创建一个符合规则的密码:
-- 创建符合复杂度要求的用户 CREATE USER 'test_user'@'localhost' IDENTIFIED BY 'Test@2024';
如果执行成功,说明密码复杂度策略已经正常启用并生效。
注意事项
- 修改全局参数后,已经存在的用户密码不会受到影响,仅对新创建的用户或修改密码的操作生效。
- 如果使用的是MySQL 8.0及以上版本,部分参数名称可能有细微调整,可以通过
SHOW VARIABLES LIKE 'validate_password%';命令查看当前版本支持的所有相关参数。 - 生产环境中建议将密码强度策略设置为MEDIUM或STRONG,同时结合定期修改密码的策略进一步提升安全性。
MySQL密码复杂度策略安全配置validate_password修改时间:2026-06-10 14:24:26