如何限制ip访问mysql_mysql网络安全配置
限制IP访问MySQL需三步:1.为应用创建指定IP的专用用户并授权;2.修改bind-address限制监听范围;3.用防火墙放行可信IP的3306端口并禁用其他来源,再定期清理高危账户。
限制 IP 访问 MySQL 是保障数据库安全最基础也最关键的一步。默认情况下,MySQL 允许任
意主机连接(尤其是 root 用户),若未及时约束,极易成为攻击入口。核心思路是:**控制用户登录来源 + 关闭非必要监听 + 配合防火墙加固**。
1. 创建限定IP的数据库用户
不要直接修改 root 用户的 host,而是为每个应用单独创建用户,并明确指定允许连接的 IP 或网段。
- 语法示例(只允许 192.168.1.100 连接):
CREATE USER 'app_user'@'192.168.1.100' IDENTIFIED BY 'strong_password'; - 授权时同样需带上 host:
GRANT SELECT, INSERT ON mydb.* TO 'app_user'@'192.168.1.100'; - 禁止通配符滥用:避免使用 'user'@'%',除非业务确需多地址接入且已通过其他手段严格管控。
2. 修改 MySQL 绑定地址与监听范围
确保 mysqld 不对外暴露在公网接口上。
- 编辑配置文件(通常是 /etc/mysql/mysql.conf.d/mysqld.cnf 或 /etc/my.cnf):
- 找到 bind-address 行,改为:
bind-address = 127.0.0.1(仅本地)
或 bind-address = 192.168.1.5(仅内网某IP) - 重启服务生效:
sudo systemctl restart mysql
3. 利用系统防火墙补充拦截
即使 MySQL 层做了限制,防火墙仍是重要兜底措施。
- 以 ufw(Ubuntu)为例,只放行可信 IP 的 3306 端口:
sudo ufw allow from 192.168.1.100 to any port 3306 - 禁用所有其他来源:
sudo ufw deny 3306 - 启用防火墙:
sudo ufw enable
4. 定期检查并清理高危账户
防止残留账号绕过限制。
- 登录 MySQL 后执行:
SELECT user, host FROM mysql.user; - 删除无用或 host 为 '%' 的测试账号:
DROP USER 'test'@'%'; - 刷新权限:
FLUSH PRIVILEGES;
不复杂但容易忽略:每新增一个应用,就对应建一个最小权限+固定IP的用户;每次服务器网络调整,都要同步核对 bind-address 和防火墙规则。安全不是设一次就一劳永逸的事。
