MySQL通过用户+主机权限体系、防火墙及配置文件实现多层访问控制,核心包括:1. 创建用户时限定主机以控制连接来源;2. 使用GRANT分配最小必要权限;3. 配合操作系统防火墙限制3306端口访问;4. 配置bind-address限制监听接口,综合措施确保安全。
MySQL 本身没有传统意义上的“访问控制列表(ACL)”配置文件,但它的权限系统本质上就是基于用户、主机和权限的访问控制机制。通过用户账户管理、权限分配和网络限制,可以实现类似 ACL 的功能。以下是配置 MySQL 访问控制的核心方法。
1. 创建用户并限制访问主机
MySQL 用户由用户名和主机名共同定义,例如 'user'@'localhost' 和 'user'@'192.168.1.%' 是两个不同的账户。通过指定主机,可以控制从哪些设备连接。
示例:-
只允许本地访问:
CREATE USER 'admin'@'localhost' IDENTIFIED BY 'password';
-
允许特定 IP 访问:
CREATE USER 'admin'@'192.168.1.100' IDENTIFIED BY 'password';
-
允许某个子网访问:
CREATE USER 'dev'@'192.168.1.%' IDENTIFIED BY 'password';
-
禁止远程访问:不创建任何
'%'
或具体 IP 的用户即可。
2. 分配最小必要权限
使用 GRANT 命令为用户分配精确权限,避免使用
GRANT ALL。遵循最小权限原则提升安全性。 常用权限示例:
GRANT SELECT, INSERT ON db_name.table_name TO 'user'@'host';
GRANT SELECT ON sales.* TO 'reporter'@'192.168.1.%';
- 执行后运行
FLUSH PRIVILEGES;
生效(通常自动刷新)。
3. 使用防火墙限制网络访问
在操作系统层面使用防火墙(如 iptables、firewalld 或云安全组)限制对 MySQL 端口(默认 3306)的访问。
建议:- 只允许业务服务器或管理终端的 IP 访问 3306 端口。
- 生产环境禁止对公网开放 3306 端口。
- 可考虑修改默认端口减少扫描攻击(非主要防护手段)。
4. 配置 MySQL 绑定地址
编辑 MySQL 配置文件(通常是
/etc/mysql/my.cnf或
/etc/my.cnf),限制服务监听的接口。 配置项:
[mysqld] bind-address = 127.0.0.1
这表示只接受本地连接。若需远程访问,改为内网 IP,例如
bind-address = 192.168.1.10,避免使用
0.0.0.0。
基本上就这些。MySQL 的“访问控制”靠的是用户+主机粒度的权限体系,结合操作系统防火墙和配置文件限制,
