MySQL连接被拒绝时,首要检查防火墙是否放行3306端口;需配置bind-address=0.0.0.0、创建最小权限账号、启用SSL加密、禁用skip-networking和local_infile等高危选项。
3306 端口
默认情况下,MySQL 仅监听 127.0.0.1(本地回环),外部连接失败往往不是权限问题,而是系统防火墙或云平台安全组拦截了 3306。Linux 上用 ufw 或 firewalld,务必确认规则已生效:
sudo ufw status verbose 查看是否允许 3306/tcp
firewalld,运行 sudo firewall-cmd --list-ports,缺失则执行 sudo firewall-cmd --add-port=3306/tcp --permanent && sudo firewall-cmd --reload
0.0.0.0/0
注意:bind-address 在 /etc/mysql/mysql.conf.d/mysqld.cnf 中
0.0.0.0 才能接受远程连接,但此举本身不等于“允许访问”,防火墙是第一道关卡。
root@'%'
生产环境绝不能用 root 远程登录。应为每个应用单独建用户,并严格限定来源 IP 和操作范围:
CREATE USER 'app_user'@'192.168.10.5' IDENTIFIED BY 'strong_password'; GRANT SELECT, INSERT, UPDATE ON mydb.orders TO 'app_user'@'192.168.10.5'; FLUSH PRIVILEGES;
关键点:
'192.168.10.5'),不用 '%';若需多台机器,逐个授权或使用子网(如 '192.168.10.%')DROP、ALTER、FILE 等高危权限一律禁用mysql.user 表中 plugin 字段应为 caching_sha2_password(MySQL 8.0+ 默认),避免旧版 mysql_native_password 的弱加密风险即使内网,也不该让 MySQL 密码以明文走 TCP。检查服务端是否已配置 SSL:
SHOW VARIABLES LIKE '%ssl%';
输出中 have_ssl 应为 YES,且 ssl_ca、ssl_cert、ssl_key 非空。客户端连接时必须显式要求加密:
--ssl-mode=REQUIRED 参数?ssl-mode=REQUIRED(如 Python 的 mysql-connector-python)GRANT ... REQUIRE SSL,则该用户强制走 SSL,否则拒绝登录自签名证书可快速测试,但生产环境建议用私有 CA 签发,避免客户端校验失败。
skip-networking 和 local_infile 是常被忽略的加固点这两个配置项影响面小但风险明确,容易被遗漏:
skip-networking:在 mysqld 配置中启用后,MySQL 完全禁用 TCP/IP 连接,只保留 socket 通信。适合纯本地 CLI 管理场景,但会断掉所有远程应用——确认业务无依赖再开local_infile:默认开启时,攻击者可通过 LOAD DATA LOCAL INFILE 读取客户端任意文件。应在服务端设 local_infile=OFF,并在客户端连接时加 --local-infile=0
secure_file_priv 的空值(即设为具体目录如 /var/lib/mysql-files/),限制可导入导出路径改完配置必须重启 mysqld,且每次变更后用 SELECT @@local_infile; 和 SELECT @@secure_file_priv; 实时验证生效状态。