MySQL 连接被拒绝时,首要检查防火墙是否放行 3306 端口;需配置 bind-address=0.0.0.0、创建最小权限账号、启用 SSL 加密、禁用 skip-networking 和 local_infile 等高危选项。
MySQL 连接被拒绝?先检查 防火墙 是否放行 3306 端口
默认情况下,MySQL 仅监听 127.0.0.1(本地回环),外部连接失败往往不是权限问题,而是系统防火墙或云平台安全组拦截了 3306。Linux 上用 ufw 或 firewalld,务必确认规则已生效:
-
sudo ufw status verbose查看是否允许3306/tcp - 若使用
firewalld,运行sudo firewall-cmd --list-ports,缺失则执行sudo firewall-cmd --add-port=3306/tcp --permanent && sudo firewall-cmd --reload - 云服务 器(如 阿里云、AWS)必须同步配置安全组,仅开放必要 IP 段,避免
0.0.0.0/0
注意:bind-address 在 /etc/mysql/mysql.conf.d/mysqld.cnf 中设为 0.0.0.0 才能接受远程连接,但此举本身不等于“允许访问”,防火墙是第一道关卡。
创建最小权限账号,别再用 root@'%'
生产环境绝不能用 root 远程登录。应为每个应用单独建用户,并严格限定来源 IP 和操作范围:
CREATE USER 'app_user'@'192.168.10.5' IDENTIFIED BY 'strong_password'; GRANT SELECT, INSERT, UPDATE ON mydb.orders TO 'app_user'@'192.168.10.5'; FLUSH PRIVILEGES;关键点:
- 主机部分写具体 IP(如
'192.168.10.5'),不用'%';若需多台机器,逐个授权或使用子网(如'192.168.10.%') - 只授予业务必需的权限,
DROP、ALTER、FILE等高危权限一律禁用 -
mysql.user表中plugin字段应为caching_sha2_password(MySQL 8.0+ 默认),避免旧版mysql_native_password的弱加密风险
启用 SSL 强制连接,防止密码明文传输
即使内网,也不该让 MySQL 密码以明文走 TCP。检查服务端是否已配置 SSL:
SHOW VARIABLES LIKE '%ssl%';输出中 have_ssl 应为 YES,且 ssl_ca、ssl_cert、ssl_key 非空。客户端连接时必须显式要求加密:
- 命令行:加
--ssl-mode=REQUIRED参数 - 应用连接字符串中添加
?ssl-mode=REQUIRED(如 Python 的mysql-connector-python) - 若用
GRANT …… REQUIRE SSL,则该用户强制走 SSL,否则拒绝登录
自签名证书可快速测试,但生产环境建议用私有 CA 签发,避免客户端校验失败。
skip-networking 和 local_infile 是常被忽略的加固点
这两个配置项影响面小但风险明确,容易被遗漏:
-
skip-networking:在mysqld配置中启用后,MySQL 完全禁用 TCP/IP 连接,只保留 socket 通信。适合纯本地 CLI 管理场景,但会断掉所有远程应用——确认业务无依赖再开 -
local_infile:默认开启时,攻击者可通过LOAD DATA LOCAL INFILE读取客户端任意文件。应在服务端设local_infile=OFF,并在客户端连接时加--local-infile=0 - 另外,禁用
secure_file_priv的空值(即设为具体目录如/var/lib/mysql-files/),限制可导入导出路径
改完配置必须重启 mysqld,且每次变更后用 SELECT @@local_infile; 和 SELECT @@secure_file_priv; 实时验证生效状态。
