刚装好的MySQL 8.0,默认情况下对远程连接完全不开放。这并非简单的“权限未开启”,而是从四个层面同时设置了障碍——监听地址、用户host、认证插件、防火墙,四道锁缺一不可。要想让外部客户端顺利连接上来,必须同步解除这四层封锁,才能实现MySQL 8.0远程访问配置。
确认并修改bind-address = 0.0.0.0
MySQL进程默认只监听127.0.0.1:3306,这意味着外部请求连服务端都摸不到。仅修改用户权限完全是徒劳,这是解决MySQL 8.0远程连接失败的第一步。
- 配置文件位置要找准:Ubuntu/Debian通常在
/etc/mysql/mysql.conf.d/mysqld.cnf,CentOS/RHEL是/etc/my.cnf,Windows则是C:ProgramDataMySQLMySQL Server 8.0my.ini - 在
[mysqld]段下找到bind-address = 127.0.0.1,把它改成bind-address = 0.0.0.0,或者直接注释掉这行,以实现MySQL 8.0允许远程连接 - 改完后记得重启服务:Ubuntu上用
sudo systemctl restart mysql,Windows上执行net stop mysql80 && net start mysql80 - 验证是否生效是关键步骤:运行
ss -tlnp | grep :3306,输出结果里必须出现*:3306或0.0.0.0:3306,如果还只有127.0.0.1:3306,说明修改失败,需要重新检查配置
创建专用用户并强制指定mysql_native_password插件
MySQL 8.0默认使用的认证插件是caching_sha2_password,但Navicat、旧版PyMySQL、PHP mysqli等客户端工具,遇到它直接报ERROR 2059,或者卡在握手阶段无法连接。因此需要为远程访问创建专用用户并指定兼容插件。
- 千万别用
UPDATE user SET host = '%'这种方式——MySQL 8.0会直接报ERROR 1396 (HY000),而且还会破坏系统表结构,导致后续权限管理混乱 - 正确做法是新建用户:
CREATE USER 'app_user'@'192.168.10.%' IDENTIFIED WITH mysql_native_password BY 'StrongPass!2026';。生产环境千万不要用'%',要指定具体的IP段以提升安全性 - 授权时也要克制:
GRANT SELECT, INSERT, UPDATE, DELETE ON mydb.* TO 'app_user'@'192.168.10.%';,别一股脑给ALL权限,遵循最小权限原则 - 必须执行
FLUSH PRIVILEGES;刷新权限,否则之前做的都还在内存缓存里没生效,这是MySQL 8.0开启远程访问的常见遗漏点 - 最后验证一下:
SELECT user, host, plugin FROM mysql.user WHERE user = 'app_user';,返回的plugin字段必须是mysql_native_password
放行3306端口(本地防火墙 + 云安全组)
ufw或firewalld放行后如果不reload,或者云服务器安全组没开启,现象都是ERROR 2003 (HY000): Can't connect to MySQL server,但错误日志里却没有任何记录——这就是典型的静默丢包,导致远程连接失败。
- Ubuntu(ufw):执行
sudo ufw allow 3306/tcp,注意不是ufw allow 3306,后者默认开的是UDP,无法满足TCP连接需求 - CentOS/RHEL(firewalld):
sudo firewall-cmd --permanent --add-port=3306/tcp && sudo firewall-cmd --reload - Windows防火墙:新建「入站规则」→「端口」→「TCP 3306」,然后勾选「域」「私有」「公共」所有配置文件,确保本地防火墙放行
- 云服务器场景(阿里云/腾讯云):必须在控制台「安全组」里单独添加入方向规则,协议TCP,端口3306,源IP按需限制,这是配置MySQL 8.0远程连接的核心环节
- 如果启用了SELinux(用
sestatus查看),记得执行sudo setsebool -P mysqld_connect_any on,否则SELinux会阻止MySQL监听外部连接
客户端连接时显式指定auth_plugin(Python/Java场景)
即使服务端已经改成了mysql_native_password,某些驱动默认还是会尝试用caching_sha2_password,导致连接失败——这算是最后一层隐藏陷阱,在Python或Java程序中尤为常见。
- PyMySQL:
conn = pymysql.connect(..., auth_plugin='mysql_native_password') - mysql-connector-python:
mysql.connector.connect(..., auth_plugin='mysql_native_password') - Navicat 15及以上版本,可以在连接属性→「高级」→「Authentication Plugin」手动选择
mysql_native_password - 千万不要删除系统自带的
mysql_native_password插件——它被sys库等内部账户依赖,删了可能导致mysqld启动失败,影响整个MySQL 8.0服务
最容易被忽略的环节,往往是改完用户权限后忘了改bind-address,或者防火墙开了但没reload,又或者云安全组压根没配。这三者只要有一个缺失,最终都会表现为“连不上”,但原因各不相同——排查时必须一层层检查,不能只盯着SQL权限看,才能彻底解决MySQL 8.0远程连接问题。
