MySQL 默认3306端口暴露公网极危险,须绑定内网IP、防火墙限流、SSH隧道访问;禁用root@%等通配符账户;禁用skip-grant-tables;强制SSL并验证加密生效。

MySQL 默认端口暴露在公网等于开门揖盗
把MySQL的默认3306端口直接暴露在公网上,无异于给整个数据库系统开了一扇没有守卫的大门。攻击者利用自动化工具,可以轻松扫描到这个端口,进而发起暴力破解,甚至利用像CVE-2012-2122这样的已知漏洞直接绕过身份验证。现实中的攻防数据很能说明问题:超过八成的MySQL数据泄露事件,起点往往就是一个暴露的3306端口,再加上一个脆弱的密码或者干脆是空密码账户。
所以,这件事没有商量余地,必须做到位:
- 绑定内网地址:生产环境绝对禁止将MySQL绑定到
0.0.0.0或公网IP。正确的做法是在配置文件中设置bind-address = 127.0.0.1,或者指定一个具体的内网IP(例如192.168.10.10)。 - 防火墙严格管控:无论是使用服务器的
iptables还是云平台的安全组,都必须严格限制对3306端口的访问,只允许来自可信来源IP的流量,默认拒绝所有INPUT方向的连接请求。 - 远程管理走安全通道:如果确实需要从外部进行管理,务必通过跳板机或建立SSH隧道。一个典型的命令是:
ssh -L 3307:127.0.0.1:3306 user@db-server,之后在本地连接localhost:3307即可,数据流全程加密。
root@% 这类通配符账户是最大安全隐患
MySQL的用户身份由'用户名'@'主机'两部分共同决定。其中,root@%这个配置意味着允许从世界上任何一台主机以最高权限的root身份登录——这简直是把服务器的钥匙直接挂在了门外。即便你设置了非常复杂的密码,这种配置也极大地扩大了攻击面,为撞库和权限提升攻击敞开了大门。
排查和清理工作刻不容缓:
- 立即审计用户列表:登录数据库后,执行
SELECT User, Host FROM mysql.user;,重点检查是否存在root@%、admin@%,甚至是''@'%'(允许任意用户从任意主机登录)这类高危条目。 - 果断删除高危账户:使用
DROP USER 'root'@'%';这样的命令,坚决清理掉通配符主机的高权限账户。通常,只保留root@localhost用于本地管理就足够了。 - 遵循最小权限原则:为具体的业务应用创建专属账户,并只授予其完成工作所必需的最小权限。例如,一个只读账号的授权命令可以是:
GRANT SELECT ON mydb.* TO 'app_ro'@'192.168.10.%';。对于写入账号,额外增加INSERT、UPDATE、DELETE权限,但务必禁用FILE、PROCESS、SUPER这类高危权限。
skip-grant-tables 启用后根本没密码保护
skip-grant-tables这个配置项的本意是用于紧急情况下的密码重置。但问题在于,如果忘记关闭它并重启了MySQL服务,整个数据库的权限验证系统就会被完全绕过。此时,任何能够连接到数据库的客户端,都可以以任意用户身份执行任何SQL操作,包括删除所有数据。
如何确认和修复这个致命漏洞?
- 检查配置文件:立即查看MySQL的主配置文件(通常是
/etc/my.cnf或/etc/mysql/mysql.conf.d/mysqld.cnf),如果发现存在skip-grant-tables这一行,必须立刻将其注释掉(在行首加#),然后重启服务:sudo systemctl restart mysql。 - 使用正确的密码重置方法:日常运维绝不应该依赖这个选项。重置密码应使用标准的SQL命令,例如在MySQL 5.7及以上版本使用
ALTER USER 'root'@'localhost' IDENTIFIED BY 'newpass';。 - 紧急情况下的安全操作:如果已经启用了该选项导致无法正常登录,在重启服务时,应同时加上
--skip-grant-tables --skip-networking参数。这样,MySQL会跳过权限验证,但同时禁用网络连接,只允许通过本地socket连接,完成密码修改后应立即退出并以正常模式重启。
SSL 加密不是“开了就行”,得验证是否真生效
这是一个非常普遍的误区:很多人以为在服务端配置了ssl-ca、ssl-cert、ssl-key并重启后,通信就自动加密了。事实并非如此,因为MySQL默认并不强制客户端使用SSL连接。这就导致攻击者依然可以在中间人位置,轻松截获明文的账号、密码以及所有的查询内容。
真正的安全,需要服务端和客户端组合配置才能生效:
- 服务端强制要求SSL:对特定用户,可以使用
ALTER USER 'app_user'@'192.168.10.%' REQUIRE SSL;命令。对于MySQL 8.0.19及以上版本,还可以设置全局参数require_secure_transport = ON,要求所有连接都必须安全。 - 客户端显式指定加密模式:在连接时,客户端必须明确要求使用SSL。例如使用命令行连接时:
mysql -u app_user -p --ssl-mode=REQUIRED -h db.example.com。否则,客户端驱动很可能会静默降级到非加密连接。 - 最终验证加密状态:连接建立后,执行一个简单的查询来确认:
SHOW STATUS LIKE 'Ssl_cipher';。只有当返回结果是一个非空值(例如AES256-SHA)时,才能确定当前的连接通道是经过加密的。
话说回来,实际环境中最容易出纰漏的,往往是权限粒度与网络隔离之间的配合。仅仅删除root@%账户还不够,还需要确保应用服务器只能访问其对应的业务数据库,并且对数据库主机本身的出方向流量也要进行限制(例如禁止其主动访问外网,以防恶意UDF或日志外传)。数据库安全从来不是打开或关闭一两个功能开关那么简单,它关乎从网络到账户、从权限到加密的每一个连接点的持续收敛与加固。
