游乐游手机版
首页/数据库/文章详情

MySQL 8.0安全远程连接配置教程

时间:2026-07-17 21:12
MySQL8 0默认禁止远程连接,需四步:修改bind-address为0 0 0 0,创建用户并强制指定mysql_native_password插件,放行3306端口(本地防火墙及云安全组),客户端连接时显式指定认证插件,缺一不可。

刚装好的MySQL 8.0,默认情况下对远程连接完全不开放。这并非简单的“权限未开启”,而是从四个层面同时设置了障碍——监听地址、用户host、认证插件、防火墙,四道锁缺一不可。要想让外部客户端顺利连接上来,必须同步解除这四层封锁,才能实现MySQL 8.0远程访问配置。

确认并修改bind-address = 0.0.0.0

MySQL进程默认只监听127.0.0.1:3306,这意味着外部请求连服务端都摸不到。仅修改用户权限完全是徒劳,这是解决MySQL 8.0远程连接失败的第一步。

  • 配置文件位置要找准:Ubuntu/Debian通常在/etc/mysql/mysql.conf.d/mysqld.cnf,CentOS/RHEL是/etc/my.cnf,Windows则是C:ProgramDataMySQLMySQL Server 8.0my.ini
  • [mysqld]段下找到bind-address = 127.0.0.1,把它改成bind-address = 0.0.0.0,或者直接注释掉这行,以实现MySQL 8.0允许远程连接
  • 改完后记得重启服务:Ubuntu上用sudo systemctl restart mysql,Windows上执行net stop mysql80 && net start mysql80
  • 验证是否生效是关键步骤:运行ss -tlnp | grep :3306,输出结果里必须出现*:33060.0.0.0:3306,如果还只有127.0.0.1:3306,说明修改失败,需要重新检查配置

创建专用用户并强制指定mysql_native_password插件

MySQL 8.0默认使用的认证插件是caching_sha2_password,但Navicat、旧版PyMySQL、PHP mysqli等客户端工具,遇到它直接报ERROR 2059,或者卡在握手阶段无法连接。因此需要为远程访问创建专用用户并指定兼容插件。

  • 千万别用UPDATE user SET host = '%'这种方式——MySQL 8.0会直接报ERROR 1396 (HY000),而且还会破坏系统表结构,导致后续权限管理混乱
  • 正确做法是新建用户:CREATE USER 'app_user'@'192.168.10.%' IDENTIFIED WITH mysql_native_password BY 'StrongPass!2026';。生产环境千万不要用'%',要指定具体的IP段以提升安全性
  • 授权时也要克制:GRANT SELECT, INSERT, UPDATE, DELETE ON mydb.* TO 'app_user'@'192.168.10.%';,别一股脑给ALL权限,遵循最小权限原则
  • 必须执行FLUSH PRIVILEGES;刷新权限,否则之前做的都还在内存缓存里没生效,这是MySQL 8.0开启远程访问的常见遗漏点
  • 最后验证一下:SELECT user, host, plugin FROM mysql.user WHERE user = 'app_user';,返回的plugin字段必须是mysql_native_password

放行3306端口(本地防火墙 + 云安全组)

ufw或firewalld放行后如果不reload,或者云服务器安全组没开启,现象都是ERROR 2003 (HY000): Can't connect to MySQL server,但错误日志里却没有任何记录——这就是典型的静默丢包,导致远程连接失败。

  • Ubuntu(ufw):执行sudo ufw allow 3306/tcp,注意不是ufw allow 3306,后者默认开的是UDP,无法满足TCP连接需求
  • CentOS/RHEL(firewalld):sudo firewall-cmd --permanent --add-port=3306/tcp && sudo firewall-cmd --reload
  • Windows防火墙:新建「入站规则」→「端口」→「TCP 3306」,然后勾选「域」「私有」「公共」所有配置文件,确保本地防火墙放行
  • 云服务器场景(阿里云/腾讯云):必须在控制台「安全组」里单独添加入方向规则,协议TCP,端口3306,源IP按需限制,这是配置MySQL 8.0远程连接的核心环节
  • 如果启用了SELinux(用sestatus查看),记得执行sudo setsebool -P mysqld_connect_any on,否则SELinux会阻止MySQL监听外部连接

客户端连接时显式指定auth_plugin(Python/Java场景)

即使服务端已经改成了mysql_native_password,某些驱动默认还是会尝试用caching_sha2_password,导致连接失败——这算是最后一层隐藏陷阱,在Python或Java程序中尤为常见。

  • PyMySQL:conn = pymysql.connect(..., auth_plugin='mysql_native_password')
  • mysql-connector-python:mysql.connector.connect(..., auth_plugin='mysql_native_password')
  • Navicat 15及以上版本,可以在连接属性→「高级」→「Authentication Plugin」手动选择mysql_native_password
  • 千万不要删除系统自带的mysql_native_password插件——它被sys库等内部账户依赖,删了可能导致mysqld启动失败,影响整个MySQL 8.0服务

最容易被忽略的环节,往往是改完用户权限后忘了改bind-address,或者防火墙开了但没reload,又或者云安全组压根没配。这三者只要有一个缺失,最终都会表现为“连不上”,但原因各不相同——排查时必须一层层检查,不能只盯着SQL权限看,才能彻底解决MySQL 8.0远程连接问题。

来源:https://www.php.cn/faq/2820190.html
上一篇SQL中DATEPART函数提取日期年份与月份方法 下一篇深入探究MySQL数据库中Replace Into比Insert更易产生锁的根本原因
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
MySQL千万级大表如何平滑DDL变更避免长时间锁表
数据库 · 2026-07-17

MySQL千万级大表如何平滑DDL变更避免长时间锁表

MySQL8 0 12+对末尾添加允许NULL且无默认值的字段支持INSTANT算法秒级完成,避免锁表与主从延迟。否则需用pt-osc或gh-ost,并注意触发器延迟、binlog格式需设置为行模式、主从延迟及连接池及时进行刷新,防止业务抖动与中断,确保稳定。

MySQL外键约束大批量导入数据性能影响原因
数据库 · 2026-07-17

MySQL外键约束大批量导入数据性能影响原因

MySQL中外键校验逐行进行,无法批量合并,每行插入均触发独立存在性检查、加锁与释放,高并发下IO和锁竞争指数级放大。需为外键字段创建高效索引,慎用ONDELETECASCADE,必要时将校验移至应用层。

SQL窗口函数统计连续登录天数的方法
数据库 · 2026-07-17

SQL窗口函数统计连续登录天数的方法

连续登录天数统计通过登录日期减去窗口函数ROW_NUMBER()行号构造恒定分组标识实现,需用DATEDIFF等适配数据库差异,筛选至少连续3天用户应在外层按user_id聚合取最大值判断,并注意联合索引避免全表排序。

Redis集群状态fail时用redis-cli修复槽位方法
数据库 · 2026-07-17

Redis集群状态fail时用redis-cli修复槽位方法

Redis集群状态cluster_state:fail的根源包括主节点宕机、网络故障或槽位未分配等。redis-cli--clusterfix仅适用于节点在线且通信正常时的槽位空缺场景,无法处理进程挂掉或网络问题。使用前需验证节点连接、数量及槽位分配状态,否则可能掩盖问题或导致数据永久丢失。fix无效时应检查日志、手动补节点或重建集群。

Oracle安装报错INS-13001环境不支持?命令行加参数忽略
数据库 · 2026-07-17

Oracle安装报错INS-13001环境不支持?命令行加参数忽略

在Windows高版本操作系统安装Oracle时,若遇INS-13001不支持环境报错,可通过命令行添加`-ignorePrereq`跳过所有系统检查,或以`-J "-Doracle install db validate supportedOSCheck=false "`禁用特定系统校验。需以管理员身份运行CMD,切勿双击setup exe,并确保主机名和IP