MySQL安全需三重防护:防火墙限制IP访问3306端口、配置bind-address绑定内网地址或本地、创建最小权限专用账号并禁用远程root登录。
MySQL 默认监听 3306 端口,若直接暴露在公网或局域网中未加限制,极易成为暴力破解、SQL 注入、未授权访问等攻击的目标。配置防火墙是第一道关键防线,必须结合网络层(系统防火墙)与 MySQL 自身访问控制协同使用。
只允许可信IP访问3306端口
禁止全网开放,仅放行应用服务器、运维跳板机等必要来源的 IP。以 Linux 的 iptables 为例:
- 清空原有规则(谨慎操作,建议先备份):
iptables -F INPUT - 允许本地回环:
iptables -A INPUT -i lo -j ACCEPT - 允许指定IP访问3306:
iptables -A INPUT -p tcp -s 192.168.1.100 --dport 3306 -j ACCEPT - 拒绝其他所有3306连接:
iptables -A INPUT -p tcp --dport 3306 -j DROP - 保存规则(CentOS 6):
service iptables save;(CentOS 7+/Ubuntu)用iptables-save > /etc/iptables/rules.v4或启用ufw
若使用 ufw(Ubuntu):ufw allow from 10.0.2.5 to any port 3306,再 ufw enable。
关闭MySQL的远程root登录
MySQL 的 root 用户默认通常只应本地登录。检查并禁用远程 root 访问:
- 登录 MySQL:
mysql -u root -p - 查看当前 root 用户权限:
SELECT host, user FROM mysql.user WHERE user='root'; - 若存在
'%'@'root'或'192.168.%'@'root'等宽泛 host,删除它:DROP USER 'root'@'%'; - 确保仅保留
'localhost'@'root'或明确受信主机(如'192.168.1.10'@'root'),并为每个用途创建最小权限专用账号
绑定到内网地址而非0.0.0.0
修改 MySQL 配置文件(通常是 /etc/my.cnf 或 /etc/mysql/mysql.conf.d/mysqld.cnf)中的 bind-address:
- 不推荐:
bind-address = 0.0.0.0(监听所有接口) - 推荐:
bind-address = 127.0.0.1(仅本地)或bind-address = 192.168.1.10(仅指定内网IP) - 修改后重启服务:
systemctl restart mysqld(或mysql) - 验证是否生效:
netstat -tlnp | grep :3306,输出中应显示具体 IP,而非*:3306
配合MySQL用户权限精细化控制
防火墙管“能不能连”,MySQL 权限管“连上后能做什么”。两者缺一不可:
- 创建应用专用账号,限定 host 和数据库:
CREATE USER 'appuser'@'192.168.1.50' IDENTIFIED BY 'strong_pass'; - 只授予必需权限:
GRANT SELECT, INSERT ON mydb.orders TO 'appuser'@'192.168.1.50'; - 禁用危险命令(如 FILE、SUPER):
REVOKE FILE ON *.* FROM 'appuser'@'192.168.1.50'; - 定期审查账号:
SELECT host, user, authentication_string FROM mysql.user;
不复杂但容易忽略:防火墙规则要和 MySQL 绑定地址、用户 host 设置保持一致,三者共同构成纵深防御。单靠某一项,都可能留下可利用缺口。
