MySQL 连接被拒绝?先检查防火墙是否放行 3306
端口
默认情况下,MySQL 仅监听
127.0.0.1(本地回环),外部连接失败往往不是权限问题,而是系统防火墙或云平台安全组拦截了
3306。Linux 上用
ufw或
firewalld,务必确认规则已生效:
sudo ufw status verbose查看是否允许
3306/tcp若使用
firewalld,运行
sudo firewall-cmd --list-ports,缺失则执行
sudo firewall-cmd --add-port=3306/tcp --permanent && sudo firewall-cmd --reload云服务器(如阿里云、AWS)必须同步配置安全组,仅开放必要 IP 段,避免
0.0.0.0/0
注意:
bind-address在
/etc/mysql/mysql.conf.d/mysqld.cnf中设为
0.0.0.0才能接受远程连接,但此举本身不等于“允许访问”,防火墙是第一道关卡。
创建最小权限账号,别再用 root@'%'
生产环境绝不能用
root远程登录。应为每个应用单独建用户,并严格限定来源 IP 和操作范围:
CREATE USER 'app_user'@'192.168.10.5' IDENTIFIED BY 'strong_password'; GRANT SELECT, INSERT, UPDATE ON mydb.orders TO 'app_user'@'192.168.10.5'; FLUSH PRIVILEGES;
关键点:
主机部分写具体 IP(如'192.168.10.5'),不用
'%';若需多台机器,逐个授权或使用子网(如
'192.168.10.%') 只授予业务必需的权限,
DROP、
ALTER、
FILE等高危权限一律禁用
mysql.user表中
plugin字段应为
caching_sha2_password(MySQL 8.0+ 默认),避免旧版
mysql_native_password的弱加密风险
启用 SSL 强制连接,防止密码明文传输
即使内网,也不该让 MySQL 密码以明文走 TCP。检查服务端是否已配置 SSL:
SHOW VARIABLES LIKE '%ssl%';
输出中
have_ssl应为
YES,且
ssl_ca、
ssl_cert、
ssl_key非空。客户端连接时必须显式要求加密: 命令行:加
--ssl-mode=REQUIRED参数 应用连接字符串中添加
?ssl-mode=REQUIRED(如 Python 的
mysql-connector-python) 若用
GRANT ... REQUIRE SSL,则该用户强制走 SSL,否则拒绝登录
自签名证书可快速测试,但生产环境建议用私有 CA 签发,避免客户端校验失败。
skip-networking
和 local_infile
是常被忽略的加固点
这两个配置项影响面小但风险明确,容易被遗漏:
skip-networking:在
mysqld配置中启用后,MySQL 完全禁用 TCP/IP 连接,只保留 socket 通信。适合纯本地 CLI 管理场景,但会断掉所有远程应用——确认业务无依赖再开
local_infile:默认开启时,攻击者可通过
LOAD DATA LOCAL INFILE读取客户端任意文件。应在服务端设
local_infile=OFF,并在客户端连接时加
--local-infile=0另外,禁用
secure_file_priv的空值(即设为具体目录如
/var/lib/mysql-files/),限制可导入导出路径
改完配置必须重启
mysqld,且每次变更后用
SELECT @@local_infile;和
SELECT @@secure_file_priv;实时验证生效状态。
