Linux Genel

MySQL Root Şifresi Değiştirme

MySQL / MariaDB sunucularında root (veya root benzeri yönetici) hesabının şifresini değiştirmek, hem rutin güvenlik bakımı hem de bir parola sızıntısı sonrası yapılması gereken kritik bir işlemdir. Bu rehberte hem normal koşullarda parola değiştirme hem de kurtarma (reset) senaryoları, Debian/Ubuntu farkları (auth_socket), Red Hat/CentOS, Docker, sistem servisleri, SELinux/AppArmor ve sık karşılaşılan hatalarla nasıl başa çıkılacağı detaylı olarak ele alınmıştır.

Not: Bu rehberi uygularseniz önce mutlaka yedek alın ve canlı üretim sunucularında değişiklik yapmadan önce test ortamında denemeyi unutmayın.

Neden MySQL root şifresi değiştirmelisiniz?

  • Parola sızdıysa (güvenlik ihlali).

  • Düzenli parola döngüsü politikası uyguluyorsanız.

  • Yeni bir security audit/denetim sonrası isteniyorsa.

  • Sunucu devralma (handover) veya personel değişikliği durumlarında.

Ön Hazırlık — Riskleri Azaltma

  1. Veritabanı yedeği alın.
    mysqldump --all-databases --single-transaction -u root -p > all_dbs.sql veya sunucu seviyesinde snapshot.

  2. Uygulamaların bağlantı bilgilerini kontrol edin. Root parolasını değiştirirken üretimde root erişiminin uygulamalar tarafından nadiren kullanıldığını unutmayın — çoğu uygulama ayrı DB kullanıcılarıyla bağlanır. Root parolasını değiştirmek bağlantı sorunlarına yol açmamalı fakat yine de konfigürasyonlarda root kullanan cron/script var mı kontrol edin.

  3. Erişim yöntemlerini belirleyin. (SSH anahtarları hazır, hizmet durumu takip sistemleri bilgilendirildi vb.)

  4. Sunucuya konsol veya SSH ile root erişiminiz olduğundan emin olun. Eğer uzak erişim tek yoldaysa bir bağlantı kesilmesi durumunu planlayın.

Temel Yöntemler — Hangi durum hangi yöntem?

  • Normal durum (root parolasını biliyorsanız): ALTER USER / SET PASSWORD komutu ile değiştirin.

  • Root parolasını unuttuysanız veya kaybettiyseniz: skip-grant-tables ile MySQL’i güvenli modda başlatıp parolayı değiştirin veya auth_socket/system auth hangi yöntemi kullanıyorsa ona göre işlem yapın.

  • Debian/Ubuntu (auth_socket) durumunda: root parolası yerine sudo mysql ile root olabiliyorsanız ALTER USER 'root'@'localhost' IDENTIFIED BY 'YeniSifre'; komutu kullanılır.

  • Cloud / Paket kurulumlarda (ör. Amazon RDS, managed MySQL): genellikle kendi yönetim konsolu üzerinden parola değişimi gerekir — sunucuya erişim ve skip-grant-tables mümkün olmayabilir.

1) Normal şekilde (root parolası biliniyorsa) — güvenli yol

MySQL 5.7+ / MariaDB / MySQL 8 için önerilen:

-- mysql -u root -p
ALTER USER 'root'@'localhost' IDENTIFIED BY 'YeniGüçlüParola!';
FLUSH PRIVILEGES;

  • MySQL 8’de ALTER USER en doğru yöntemdir.

  • MariaDB veya eski MySQL sürümlerinde SET PASSWORD FOR veya UPDATE mysql.user gerekebilir.

Örnek (MariaDB / MySQL 5.6 ve altı):

SET PASSWORD FOR 'root'@'localhost' = PASSWORD('YeniGüçlüParola!');
FLUSH PRIVILEGES;

Güçlü parola: en az 12-16 karakter, büyük/küçük harf, rakam, sembol karışımı. Parola yöneticisi (1Password/Bitwarden) kullanın.

2) Debian/Ubuntu (auth_socket) — root parolası yok/şifre kullanılmıyorsa

Debian/Ubuntu paketlerindeki bazı MySQL/MariaDB kurulumları auth_socket plugin’i ile root kullanıcıyı UNIX socket üzerinden OS root kullanıcısı olarak doğrular. Bu durumda mysql -u root -p parola istemeyebilir; bunun yerine sudo mysql ile doğrudan bağlanabilirsiniz.

Adımlar:

sudo mysql
# MariaDB veya MySQL prompt geldiğinde:
ALTER USER 'root'@'localhost' IDENTIFIED BY 'YeniGüçlüParola!';
FLUSH PRIVILEGES;
EXIT;

Eğer auth_socket‘i kaldırıp parola ile giriş olmaya dönmek istersen:

ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'YeniGüçlüParola!';
FLUSH PRIVILEGES;

MariaDB’de plugin isimleri farklı olabilir (unix_socket vs auth_socket). SELECT user, host, plugin FROM mysql.user; ile kontrol edin.

3) Root parola unutulduysa — skip-grant-tables ile kurtarma (en çok kullanılan yöntem)

Uyarı: skip-grant-tables modu yetkisiz erişime olanak verir; bu işlem sırasında sunucuya dışarıdan erişimi engellemeniz (firewall, iptables, ip blocking) ve kısa sürede işlem yapmanız gerekir.

Adımlar (systemd tabanlı sistemler için):

  1. MySQL servisini durdurun:

sudo systemctl stop mysqld       # CentOS/RedHat
sudo systemctl stop mysql        # Debian/Ubuntu

  1. MySQL’i grant kontrolü kapalı olarak başlatın:

sudo mysqld_safe --skip-grant-tables --skip-networking &   # --skip-networking ile dış erişimi engelle

  1. Yeni terminalde MySQL’e root olarak bağlanın (parola sormaz):

mysql -u root

  1. Parolayı güncelleyin:

FLUSH PRIVILEGES;   -- bazen ilk olarak flush değil hemen ALTER kullanın
ALTER USER 'root'@'localhost' IDENTIFIED BY 'YeniGüçlüParola!';
FLUSH PRIVILEGES;

Eğer ALTER USER hata verirse (çok eski sürüm) şu şekilde deneyin:

USE mysql;
UPDATE user SET authentication_string=PASSWORD('YeniGüçlüParola!') WHERE User='root' AND Host='localhost';
-- veya MySQL versiyonuna göre:
UPDATE mysql.user SET Password=PASSWORD('YeniGüçlüParola!') WHERE User='root';
FLUSH PRIVILEGES;

  1. MySQL’i kapatıp normal başlatın:

sudo pkill mysqld
sudo systemctl start mysqld

  1. Yeni parolayı test edin:

mysql -u root -p
# parola girildiğinde root erişimi gelmeli

4) Eğer paket kurulum sırasında temporary root password verildiyse (ör. MySQL 5.7+)

Bazı MySQL kurulumları tmp root parolası üretir ve bu /var/log/mysqld.log veya /var/log/mysql/error.log içinde yer alır. Eğer kurulurken bu parola kullanıldıysa ilk girişte değiştirmeniz isteniyordu.

Geçici parola bulma:

sudo grep 'temporary password' /var/log/mysqld.log

Ardından:

mysql -u root -p   # temporary password girin
ALTER USER 'root'@'localhost' IDENTIFIED BY 'YeniParola1!';

5) Docker konteyner içindeki MySQL root parolası değiştirme

Konteyner içindeyse:

# konteyner name öğren
docker exec -it mysql_container bash
mysql -u root -p
ALTER USER 'root'@'%' IDENTIFIED BY 'YeniParola!';
FLUSH PRIVILEGES;

Eğer konteyneri yeniden başlattığınızda env değişkeni (MYSQL_ROOT_PASSWORD) ile otomatik set ediliyorsa, docker-compose dosyanızda bu değeri değiştirmeyi unutmayın.

Konteyner dışında host’tan:

docker exec -it mysql_container mysql -u root -p -e "ALTER USER 'root'@'localhost' IDENTIFIED BY 'YeniParola!'; FLUSH PRIVILEGES;"

6) MySQL sürümüne göre dikkat edilmesi gerekenler

  • MySQL 8: authentication_string ve caching_sha2_password kullanılabilir. ALTER USER ile plugin belirtmezsen yeni default plugin kullanılabilir. Eğer eski mysql_native_password istiyorsanız:

ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'YeniParola!';

  • MariaDB: plugin isimleri mysql_native_password, unix_socket veya pam olabilir. MariaDB 10.x versiyonunda ALTER USER yerine SET PASSWORD komutu da çalışır.

  • Eski MySQL (5.5/5.6): UPDATE mysql.user SET Password=PASSWORD('...') muhtemel. FLUSH PRIVILEGES şart.

7) Remote root erişimi ve güvenlik

  • Root hesabının Host sütununda genelde localhost vardır. Eğer 'root'@'%' veya 'root'@'192.168.%' gibi uzak bağlantı izinleri varsa root hesabı uzaktan bağlanabilir — bu güvenlik riski yaratır. Uzak root erişimine izin vermeyin:

SELECT Host, User FROM mysql.user WHERE User='root';

  • Uzaktan root erişimini iptal etmek için:

DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost','127.0.0.1','::1');
FLUSH PRIVILEGES;

  • Root yerine uygulamalar için minimum yetkili (least-privilege) kullanıcılar kullanın.

8) Şifre politikası, karma (hash) ve parola saklama

  • MySQL 8 default olarak caching_sha2_password kullanır — bazı eski client’lar desteklemeyebilir. Gerekirse mysql_native_password kullanımıyla uyumluluk sağlayın.

  • Parola asla plaintext dosyalarda saklanmamalı. Konfigürasyonda /root/.my.cnf gibi chmod 600 ile erişimi kısıtlanmış dosyaya [client] bölümü ekleyebilirsiniz:

[client]
user=root
password=YeniParola!

Ama bu da risklidir — uygulamalar için ayrı, sınırlı haklı kullanıcılar kullanın.

9) Otomasyon ve parola döndürme (rotation)

  • Parolayı değiştirecekseniz, bu değişikliği kullanan uygulama konfigürasyonları, cron job’lar, backup scriptleri gibi tüm bağlantı noktalarında güncelleyin.

  • Parola rotasyonu için plan: örneğin 90 günde bir parola değişimi, kayıtlı değişiklik geçmişi ve bir parola yönetim sistemi kullanın.

  • Parola değişikliklerini CI/CD pipeline veya config management araçları (Ansible, Puppet, Chef) ile merkezi yönetin. Ansible örneği:

- name: Change MySQL root password
  mysql_user:
    login_user: root
    login_password: "{{ old_root_password }}"
    name: root
    host: localhost
    password: "{{ new_root_password }}"
    check_implicit_admin: yes
    state: present

10) Sık Karşılaşılan Hatalar ve Çözümleri

  • ERROR 1698 (auth_socket): Debian’da auth_socket plugin aktifse sudo mysql ile bağlanın ve ALTER USER yapın veya plugin’i değiştirin.

  • Access denied for user ‘root’@’localhost’: Parola yanlış veya plugin farklı; sudo mysql ile socket auth deneyin. Eğer parola unutulduysa skip-grant-tables yoluna gidin.

  • Can’t connect to local MySQL server through socket: MySQL servis çalışmıyor olabilir. systemctl status mysqld / service mysql status kontrol edin.

  • After skip-grant-tables, ALTER USER gives error: bazı sürümlerde önce FLUSH PRIVILEGES; gerek ve UPDATE mysql.user ile manuel değişiklik gerekebilir.

  • SELinux/AppArmor deny: servis restart sonrası erişim sorunları AppArmor/SELinux profilleri nedeniyle olabilir. audit.log kontrol edin ve gerekli policy izinlerini ekleyin veya SELinux permissive modda test edin (setenforce 0) — production’da policy uygun şekilde düzenleyin.

11) Örnek adım adım senaryo — Debian 11 / MySQL 8 normal değişim

  1. Yedek al:

mysqldump --all-databases --single-transaction -u root -p > /root/all_dbs_$(date +%F).sql

  1. Root ile giriş:

mysql -u root -p

  1. Parolayı değiştir:

ALTER USER 'root'@'localhost' IDENTIFIED WITH caching_sha2_password BY 'SüperGüçlüParola1!';
FLUSH PRIVILEGES;
EXIT;

  1. Test:

mysql -u root -p
# yeni parola ile giriş doğrulayın

12) Ek Güvenlik Önerileri

  • Root erişimini sadece yönetim gerektiren günlerde açın. Normal operasyonlarda root hesabını kapalı tutun (lock).

  • İki Faktörlü Kimlik Doğrulama (2FA): MySQL doğrudan 2FA desteklemez ancak yönetici erişimi için SSH ve kontrol panellerinde 2FA kullanın.

  • Database firewall & network rules: MySQL portunu (3306) dış erişime açmayın; sadece yönetilen IP’leri whitelist yapın.

  • Audit & Logging: mysql.audit_log veya proxy audit ile kim ne zaman değiştirdi izleyin.

  • Least privilege: Uygulamalar için ayrı kullanıcılar ve en az gerekli izinleri verin.

13) Özet — Hızlı Yol Haritası

  1. Yedek alın.

  2. Root parolasını biliyorsanız ALTER USER ile güvenli şekilde değiştirin.

  3. Parolayı bilmiyorsanız skip-grant-tables veya paket özel durumu (auth_socket) yoluyla resetleyin.

  4. Değişiklik sonrası servisleri yeniden başlatın ve uygulamaları kontrol edin.

  5. Uzak root erişimini kapatın, parola politikası uygulayın, yedek ve logging kurallarını oluşturun.

14) Faydalı Komut Özetleri

Root parolası değiştir (MySQL 8):

ALTER USER 'root'@'localhost' IDENTIFIED BY 'YeniParola!';
FLUSH PRIVILEGES;

Debian auth_socket -> parola ile değiştirme:

sudo mysql
ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'YeniParola!';
FLUSH PRIVILEGES;

skip-grant-tables kurtarma (kısa özet):

sudo systemctl stop mysql
sudo mysqld_safe --skip-grant-tables --skip-networking &
mysql -u root
-- mysql prompt:
ALTER USER 'root'@'localhost' IDENTIFIED BY 'YeniParola!';
FLUSH PRIVILEGES;
# sonra mysqld stop/start

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir