在 MySQL 中实现数据库访问白名单,主要是通过控制用户的主机访问权限来限制哪些 IP 或主机可以连接到数据库。MySQL 本身没有“白名单”这个图形化功能,但可以通过其用户权限系统达到同样的效果。
1. 使用 MySQL 用户权限表设置访问来源
MySQL 的 mysql.user 表中有一个 Host 字段,用于指定用户可以从哪个主机连接。你可以通过精确设置 Host 值来实现白名单机制。
例如,只允许来自特定 IP 的用户访问:
CREATE USER 'myuser'@'192.168.1.100' IDENTIFIED BY 'secure_password'; GRANT SELECT, INSERT ON mydb.* TO 'myuser'@'192.168.1.100'; FLUSH PRIVILEGES;
上面的语句表示:只有从 IP 192.168.1.100 发起的连接才能使用用户 myuser 登录。
如果要允许多个指定 IP,重复创建对应 Host 的用户即可:
CREATE USER 'myuser'@'192.168.1.101' IDENTIFIED BY 'secure_password'; GRANT SELECT, INSERT ON mydb.* TO 'myuser'@'192.168.1.101';
2. 避免使用通配符 %
默认情况下,很多配置会使用 'user'@'%' 允许从任意主机连接,这相当于开放了所有 IP,不符合白名单要求。
应避免以下语句(除非明确需要):
CREATE USER 'myuser'@'%' IDENTIFIED BY 'password'; -- 不推荐,开放所有IP
若已存在此类用户,建议删除或修改为具体 IP:
DROP USER 'myuser'@'%'; -- 然后创建具体 IP 的用户
3. 刷新权限并测试
每次修改用户或权限后,必须执行:
FLUSH PRIVILEGES;
确保权限立即生效。
可以通过尝试从不同 IP 连接来验证是否只有白名单中的 IP 可以登录。
4. 结合操作系统或防火墙加强白名单
MySQL 权限控制是第一道防线,建议结合系统层面的防火墙进一步加固。
例如,在 Linux 上使用 iptables 或 ufw 限制只有特定 IP 访问 3306 端口:
# 使用 iptables iptables -A INPUT -p tcp --dport 3306 -s 192.168.1.100 -j ACCEPT iptables -A INPUT -p tcp --dport 3306 -j DROP <h1>或使用 ufw</h1><p>ufw allow from 192.168.1.100 to any port 3306 ufw deny 3306</p>
这样即使 MySQL 配置出错,外部也无法直接连接。
基本上就这些。通过合理设置 MySQL 用户的 Host 字段,并配合系统防火墙,就能有效实现数据库访问白名单。关键是避免使用 % 通配符,只开放必要的 IP。不复杂但容易忽略细节。
