MySQL 本身没有“IP 黑名单”或“全局白名单”开关,只允许指定 IP 访问的唯一可靠方式,是**在创建/修改用户时,把
Host字段精确限定为该 IP(或网段)**,再配合系统级防火墙加固。其他所谓“配置文件里加一行就限制”的说法,基本是误解或失效方案。
用 CREATE USER
或 GRANT
显式绑定 IP
这是最直接、最可控的方式。MySQL 的权限模型本质就是 “
user@host” 二元组,
host支持 IP、域名、通配符(
%、
_),但不支持正则或子网掩码(CIDR)。 只允许
192.168.1.100登录:
CREATE USER 'appuser'@'192.168.1.100' IDENTIFIED BY 'strong_pass';<br>GRANT SELECT, INSERT ON mydb.* TO 'appuser'@'192.168.1.100';<br>FLUSH PRIVILEGES;允许整个
192.168.1.x网段:
CREATE USER 'appuser'@'192.168.1.%' IDENTIFIED BY 'strong_pass';禁止任意 IP 匹配(比如删掉
'appuser'@'%'):
DROP USER 'appuser'@'%';
⚠️ 注意:
'appuser'@'localhost'和
'appuser'@'127.0.0.1'是两个不同账户;前者走 Unix socket,后者走 TCP loopback,别漏掉其中一个。
改已有用户?别用 UPDATE mysql.user
虽然
UPDATE mysql.user SET Host='192.168.1.100' WHERE User='appuser' AND Host='%';看似能改,但风险极高: MySQL 8.0+ 对
mysql.user表结构有严格校验,手动 UPDATE 可能破坏内部一致性 权限缓存可能未及时刷新,导致行为不可预测 更安全的做法是:
DROP USER 'appuser'@'%';再
CREATE USER 'appuser'@'192.168.1.100'
如果必须保留原用户权限,用
RENAME USER 'appuser'@'%' TO 'appuser'@'192.168.1.100';—— 这是 MySQL 官方支持的安全迁移方式。
防火墙才是兜底防线,不是可选项
仅靠 MySQL 用户权限,无法防止连接建立阶段的暴力探测或耗尽连接数攻击。必须在 OS 层封死非授权 IP 的
3306端口访问。 用
iptables(CentOS 6 / Ubuntu 16.04):
iptables -A INPUT -p tcp --dport 3306 -s 192.168.1.100 -j ACCEPT<br>iptables -A INPUT -p tcp --dport 3306 -j DROP用
firewalld(CentOS 7+):
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="3306" protocol="tcp" accept'<br>firewall-cmd --reload
⚠️ 关键点:先
ACCEPT白名单,再
DROP其他所有 —— 顺序错了会把自己锁在外面。
bind-address
不是用来“限制 IP”,而是“监听地址”
很多人误以为在
my.cnf里设
bind-address = 192.168.1.100就能限制访问,其实它只是让 mysqld **只监听那个 IP 的 3306 端口**。如果服务器有多个网卡,这可以缩小攻击面,但它 ≠ 权限控制: 若设为
127.0.0.1,外部根本连不上(连
GRANT都没意义) 若设为
0.0.0.0或注释掉,MySQL 默认监听所有接口 —— 此时全靠用户
@host和防火墙拦 改完必须
systemctl restart mysqld,否则不生效
真正容易被忽略的细节是:**MySQL 权限检查发生在 TCP 连接建立之后,而防火墙拦截发生在连接之前。两者缺一不可,且防火墙是第一道也是最廉价的屏障。**
