MySQL 本身没有传统意义上的“访问控制列表(ACL)”配置文件,但它的权限系统本质上就是基于用户、主机和权限的访问控制机制。通过用户账户管理、权限分配和网络限制,可以实现类似 ACL 的功能。以下是配置 MySQL 访问控制的核心方法。
1. 创建用户并限制访问主机
MySQL 用户由用户名和主机名共同定义,例如 'user'@'localhost' 和 'user'@'192.168.1.%' 是两个不同的账户。通过指定主机,可以控制从哪些设备连接。
示例: 只允许本地访问:CREATE USER 'admin'@'localhost' IDENTIFIED BY 'password';允许特定 IP 访问:
CREATE USER 'admin'@'192.168.1.100' IDENTIFIED BY 'password';允许某个子网访问:
CREATE USER 'dev'@'192.168.1.%' IDENTIFIED BY 'password';禁止远程访问:不创建任何
'%'或具体 IP 的用户即可。
2. 分配最小必要权限
使用 GRANT 命令为用户分配精确权限,避免使用
GRANT ALL。遵循最小权限原则提升安全性。 常用权限示例:
GRANT SELECT, INSERT ON db_name.table_name TO 'user'@'host';
GRANT SELECT ON sales.* TO 'reporter'@'192.168.1.%';执行后运行
FLUSH PRIVILEGES;生效(通常自动刷新)。
3. 使用防火墙限制网络访问
在操作系统层面使用防火墙(如 iptables、firewalld 或云安全组)限制对 MySQL 端口(默认 3306)的访问。
建议: 只允许业务服务器或管理终端的 IP 访问 3306 端口。 生产环境禁止对公网开放 3306 端口。 可考虑修改默认端口减少扫描攻击(非主要防护手段)。4. 配置 MySQL 绑定地址
编辑 MySQL 配置文件(通常是
/etc/mysql/my.cnf或
/etc/my.cnf),限制服务监听的接口。 配置项:
[mysqld] bind-address = 127.0.0.1
这表示只接受本地连接。若需远程访问,改为内网 IP,例如
bind-address = 192.168.1.10,避免使用
0.0.0.0。
基本上就这些。MySQL 的“访问控制”靠的是用户+主机粒度的权限体系,结合操作系统防火墙和配置文件限制,能有效实现安全访问管理。关键是不要依赖单一手段,而是多层控制。
