Protegendo o MySQL debian-sys-maint

Com uma nova (mas antiga) instalação do Ubuntu e do MySQL, descobri que podia acessar o MySQL via cliente de linha de comando sem ser solicitado por nenhum usuário ou senha.

Isso me incomodou como a situação padrão, e eu tentei investigar isso. O login como root exigiu a senha de root. Mas o login sem especificar o usuário (ou seja, apenas digitando mysql na linha de comando) não me pediu nem usuário nem senha.

Acho que rastreei isso para o usuário debian-sys-maint , que parece ter permissões completas do MySQL, por um lado, e também é o usuário padrão do cliente, conforme definido em /etc/mysql/debian.cnf do outro.

Meu primeiro instinto foi me livrar completamente do usuário, porque isso parecia uma falha de segurança para mim, mas ao ler, incluindo as postagens abaixo, parece que debian-sys-maint é necessário.

Então, meu plano é tentar o seguinte:

REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'debian-sys-maint';
GRANT RELOAD on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'xxxxxx';
FLUSH PRIVILEGES;

Alguém pode comentar isso como a maneira recomendada / esperada / correta de proteger uma instalação padrão do MySQL?

Também devo alterar /etc/mysql/debian.cnf para remover esta seção?

[client]
host     = localhost
user     = debian-sys-maint
password = xxxxxx
socket   = /var/run/mysqld/mysqld.sock

(avisa: # Automatically generated for Debian scripts. DO NOT TOUCH! )

Eu pretendo substituí-lo com minha própria seção ~/.my.cnf client de qualquer maneira.

Atualização: As permissões em /etc/mysql/debian.cnf são:

-rw------- 1 root root 312 2012-05-20 23:07 /etc/mysql/debian.cnf

Referências:

O que é o MySQL debian-sys-maint usuário (e mais)?
• link
• usuário debian-sys-maint no mysql?