MySQL数据库安全扫描可以通过安装安全插件和定期检查来实现，比如用MySQL Enterprise Audit插件开启审计日志，全程跟踪所有访问操作，包括谁登录、执行了什么SQL语句、访问了哪些表。这样就能实时监控异常行为，有效防范数据泄露和攻击，因为一旦发现可疑操作，比如大量数据导出或异常IP访问，就能立即报警或封锁，防止损失扩大。

使用MySQL Audit插件进行安全扫描

首先，确保你的MySQL版本支持审计插件，通常5.6以上版本都可以。安装步骤很简单：1. 下载MySQL Enterprise Audit插件（需要企业版订阅，或者用社区版的开源替代如mariadb-audit-plugin）。2. 在my.cnf配置文件中添加：plugin-load-add=audit_log.so audit_log=FORCE_PLUS_PERMANENT，然后设置audit_log_format=JSON，audit_log_file=audit.log。3. 重启MySQL服务。4. 现在，所有连接、查询、DDL操作都会被记录到日志中。你可以用grep或脚本扫描日志，找关键词如SELECT * FROM sensitive_table，或者异常用户登录。全程跟踪就是通过这个日志实时解析，结合ELK栈（Elasticsearch+Logstash+Kibana）可视化显示，就能看到谁在干嘛，防范SQL注入或内鬼泄露。

Prowler或OpenVAS工具扫描MySQL漏洞

除了插件，还可以用开源工具扫描MySQL安全问题。Prowler是一个AWS安全扫描工具，但它支持数据库检查；或者用OpenVAS，全是免费的。运行命令：openvas-setup，然后启动scanner，添加MySQL主机IP，扫描模板选数据库安全。扫描会检查默认密码、弱加密、开放端口3306暴露等常见问题。结果出来后，它会生成报告，告诉你高危、中危漏洞，比如root无密码或--skip-grant-tables启用。全程跟踪可以用它内置的日志模块，结合Wireshark抓包MySQL流量，看到明文传输数据就知道要升级到SSL。做完这些，数据泄露风险降90%以上，攻击者难以下手。

自定义脚本实现全程审计和告警

我自己写了个简单Python脚本来跟踪MySQL：import mysql.connector, time; 然后连接数据库，启用general_log=ON（在my.cnf设置log_output=FILE, general_log_file=/var/log/mysql/mysql.log）。脚本每分钟tail -f日志文件，解析SQL语句，如果匹配高危模式如DROP TABLE或UNION SELECT，就发邮件或钉钉告警。全程跟踪的关键是解析日志里的thread_id、user、host、db、command_type、info字段，能精确知道哪个用户从哪个IP执行了什么。防范攻击超有效，上次我们公司用这个，抓到一个开发误删数据，及时恢复，没泄露。

结合Fail2Ban和iptables加强防护

扫描完漏洞后，全程跟踪用Fail2Ban监控MySQL错误日志（error_log）。配置jail.local： [mysql-auth] enabled=true port=3306 logpath=/var/log/mysql/error.log filter=mysql-auth，filter文件定义正则匹配失败登录如Access denied for user。Fail2Ban会自动ban掉多次失败的IP。同时，用iptables -A INPUT -p tcp --dport 3306 -s 你的内网IP -j ACCEPT，其它全DROP，只允许白名单访问。这样内外结合，数据泄露基本不可能，攻击者连门都进不了。

FAQ

Q: MySQL审计日志会不会影响性能？
A: 会有一点，开general_log全记录时CPU和IO增加20-30%，但用audit_log只记安全事件，影响小得多，生产环境推荐。

Q: 免费工具能完全取代企业版吗？
A: 能，大部分功能开源插件如percona-audit-plugin就够用，不花钱也能全程跟踪。

Q: 怎么快速检查MySQL当前安全状态？
A: 运行mysql -e "SHOW GRANTS FOR root@'%'; SHOW VARIABLES LIKE 'general_log';" 看权限和日志设置，几秒搞定。

Q: 扫描后发现漏洞，怎么修复？
A: 改强密码、禁用远程root、升级到8.0版本、启用SSL，都是一键配置，重启生效。