MySQL生产环境如何限制用户远程访问:IP地址白名单配置策略

MySQL用户账户绑定具体IP地址
想在MySQL里实现精准的访问控制,最直接、最根本的一招,就是在创建或修改用户时,把host值给钉死。道理很简单:MySQL眼里,用户名@来源主机才是一个完整的用户身份。同一个用户名,换个IP地址,那就是两个完全不同的账户。
这里最常见的坑是什么?就是图省事用了'%'这个通配符,结果上线后发现,说好的白名单根本不起作用。生产环境里,'%'能不用就不用,老老实实换成具体的IP地址。如果是一组机器,MySQL 5.7及以上版本支持CIDR网段写法,比如'192.168.10.0/24',这就方便多了。
- 创建指定IP访问的用户: 假设只允许从
10.20.30.40这台服务器连接,命令长这样:CREATE USER 'app_user'@'10.20.30.40' IDENTIFIED BY 'strong_pass';
- 修改已有用户的IP绑定: 注意,MySQL不支持直接去改
mysql.user表里的host字段,改了也不会生效。正确的姿势是先DROP USER旧账户,再用新host重建。 - 注意网络环境: 如果你的应用跑在Kubernetes后面或者经过NAT网关,连接过来的IP很可能不是容器自己的IP,而是负载均衡器或网关的地址。配置之前,务必先搞清楚真实的源IP是什么。
GRANT语句中host参数必须与CREATE USER一致
很多人容易在这里栽跟头:以为GRANT授权的时候,能顺便把IP限制也给覆盖或修正了。其实不然。GRANT只管给权限,它要找的那个用户,必须已经存在,而且host部分必须一字不差。如果对不上,MySQL会“贴心”地静默创建一个新用户——比如你本来想限制IP,结果它给你建了个'app_user'@'%',白名单瞬间失效。
来看一个典型的错误操作序列:
CREATE USER 'app_user'@'10.20.30.40'; GRANT SELECT ON mydb.* TO 'app_user'@'%';第二行那个
GRANT,实际上新建了一个来自任何主机(%)的app_user用户并授予了权限,而最开始创建的那个绑定特定IP的用户,反而什么权限都没有。
- 授权铁律:
GRANT ... TO 'user'@'host'里的host,必须和当初CREATE USER时写的完全一致。 - 如何检查: 用这个查询看看用户到底是怎么定义的:
SELECT user, host FROM mysql.user WHERE user = 'app_user';
- 误操作补救: 万一不小心建了个
'app_user'@'%',立刻DROP USER 'app_user'@'%';,然后重新执行正确的GRANT语句。
防火墙与MySQL bind-address双重防护
光靠MySQL用户级别的host限制,其实还不够踏实。想想看,如果MySQL服务本身配置成了bind_address = 0.0.0.0(默认监听所有网络接口),攻击者还是有可能尝试通过本地socket或者其他端口转发的方式绕开权限验证。所以,系统级的网络控制必须跟上。
另一个常见的疏漏是,只记得改MySQL配置,却忘了开系统防火墙,或者防火墙规则没限定端口,导致3306端口直接暴露在公网上。
- 收紧MySQL监听范围: 在MySQL配置文件(如
my.cnf)里,把bind_address设为127.0.0.1(只允许本机)或者某个具体的内网IP(如10.20.30.10),坚决避免使用0.0.0.0。 - 系统防火墙加固: 在Linux服务器上,用
iptables或者更简单的ufw,明确只放行可信IP。例如:ufw allow from 10.20.30.40 to any port 3306
- 云平台安全组别忘记: 如果数据库在云上(比如AWS、阿里云),云厂商的安全组规则优先级往往更高,记得同步配置,只允许特定IP访问数据库端口。
排查“Access denied”时优先查host匹配结果
当应用抛出类似Access denied for user 'app_user'@'x.x.x.x'的错误时,第一反应别总以为是密码错了。更可能的原因是:连接过来的这个'x.x.x.x',根本不在你允许的host列表里。MySQL错误日志里记录的那个host,才是它进行权限匹配时真正使用的依据。
这里有个特别容易被忽略的细节:DNS反向解析的影响。如果MySQL没有开启skip_name_resolve(默认是OFF),它会尝试把客户端的IP地址反向解析成主机名,然后用这个主机名去匹配host字段。一旦DNS解析不稳定或者有延迟,明明IP对的请求,也会因为主机名对不上而失败。
- 确认连接身份: 在MySQL里执行下面这个命令,可以看到当前连接被识别成的用户和主机:
SELECT CURRENT_USER();
返回格式是'user'@'resolved_host',这个resolved_host可能就是被解析后的域名。 - 生产环境最佳实践: 强烈建议设置
skip_name_resolve = ON。这个开关一开,MySQL就直接用IP地址进行匹配,既避免了DNS解析带来的性能和稳定性问题,也消除了不确定性。 - 非要用域名怎么办: 如果确实需要配置域名白名单(比如
'app_user'@'web-prod.example.com'),那就必须确保所有客户端IP都能被稳定、正确地反向解析到指定域名,并且要防范DNS缓存污染等问题。
总结一下,一个真正生效的IP白名单,依赖于三个环节严丝合缝:用户定义的host、MySQL服务的bind_address、系统/网络的防火墙规则。少了任何一环,防护墙上就有了漏洞。排查问题时,CURRENT_USER()的返回值和skip_name_resolve的开关状态,是定位问题最快、最直接的线索。
