MySQL 提供账户锁定功能,用于增强数据库安全。当用户多次登录失败后,可以自动锁定账户,防止暴力破解。从 MySQL 8.0 开始,原生支持账户锁定策略,通过角色和密码管理机制实现。
启用并配置账户锁定策略
MySQL 使用 FAILED_LOGIN_ATTEMPTS 和 PASSWORD_LOCK_TIME 参数来控制账户锁定行为。这些参数可以在创建或修改用户时设置。
例如,限制用户最多 3 次登录失败,锁定 2 天:
CREATE USER 'app_user'@'localhost'IDENTIFIED BY 'secure_password'
FAILED_LOGIN_ATTEMPTS 3
PASSWORD_LOCK_TIME 2;
已存在的用户可以通过 ALTER USER 修改锁定策略:
ALTER USER 'app_user'@'localhost'FAILED_LOGIN_ATTEMPTS 5
PASSWORD_LOCK_TIME 1;
查看账户锁定状态
可以通过查询 mysql.user 表查看用户的锁定配置:
SELECT User, Host, ACCOUNT_LOCKED,FAILED_LOGIN_ATTEMPTS, PASSWORD_LOCK_TIME
FROM mysql.user
WHERE User = 'app_user';
如果账户已被锁定,ACCOUNT_LOCKED 字段值为 'Y'。
手动锁定与解锁账户
管理员可手动控制账户状态:
锁定账户:ALTER USER 'app_user'@'localhost' ACCOUNT LOCK; 解锁账户:
ALTER USER 'app_user'@'localhost' ACCOUNT UNLOCK;
这在员工离职或怀疑账户泄露时非常有用。
注意事项与建议
使用账户锁定策略时注意以下几点:
确保应用程序正确处理被锁定账户的连接错误,避免日志刷屏。 合理设置失败尝试次数和锁定时间,避免误锁影响正常业务。 结合审计插件或日志监控异常登录行为。 该功能依赖 validate_password 插件,需确认已启用。基本上就这些。合理配置账户锁定能显著提升 MySQL 安全性,但要平衡安全性与可用性。不复杂但容易忽略。
