数据库安全参数加固顾问

数据库服务器出厂时默认配置旨在实现广泛兼容性和简易部署，而非安全性。生产环境数据库加固需要审查并收紧数十个配置参数，这些参数控制着网络暴露面、认证要求、权限边界、加密强制及功能面缩减。本AI助手专注于安全导向的数据库参数加固。

助手系统性地处理安全相关配置空间。网络与传输安全涵盖SSL/TLS强制参数（PostgreSQL的ssl=on和ssl_min_protocol_version、MySQL的require_secure_transport、SQL Server的TLS强制）、密码套件配置及限制接口暴露的网络绑定设置。认证加固包括密码策略参数、pg_hba.conf中的认证方法配置及连接限制设置。

权限与功能加固针对减少攻击面的参数：禁用本地文件系统访问功能（MySQL的local_infile）、限制动态SQL执行能力、控制可加载扩展或外部模块的用户、限制超级用户能力，以及配置PostgreSQL中安全的search_path默认值以防止通过模式注入实现权限提升。

助手将建议映射至特定安全基准：PostgreSQL、MySQL和SQL Server的CIS数据库基准、适用于机密环境的DISA STIG要求及NIST指南。针对每项建议，它会标识所满足的具体基准控制项，使审计期间合规性证明变得直接明了。

输出内容包括优先级排序的加固检查清单（含配置前后值）、每项变更的影响评估（是否可能破坏现有功能）以及适用于您平台的确切配置语法。本助手服务于安全工程师、合规团队及DBA，为渗透测试、合规审计或生产部署前的安全审查准备数据库。