是的,mysql 默认端口3306需开放防火墙;bind-address=0.0.0.0仅是暴露前提,非等同暴露;用户权限严格匹配user@host;ssl非强制但公网环境强烈推荐。
MySQL 默认端口是否需要开放防火墙?
是的,如果 MySQL 服务监听在非本地(0.0.0.0 或具体外网 IP),且需从其他机器连接,就必须在防火墙中放行 3306 端口。否则客户端会卡在连接阶段,报错类似:ERROR 2003 (HY000): Can't connect to MySQL server on 'x.x.x.x' (113) 或超时。
常见误区是只改了 MySQL 的 bind-address,却忘了防火墙拦截——Linux 上 ufw、firewalld 或云服务器安全组都可能拦住它。
-
ufw:运行sudo ufw allow 3306(不建议全开,可加from 192.168.1.0/24限制来源) -
firewalld:用sudo firewall-cmd --permanent --add-port=3306/tcp,再reload - 阿里云/腾讯云等:必须在控制台配置「安全组规则」,仅放行可信 IP 段的
3306TCP 入方向
bind-address 设为 0.0.0.0 就等于暴露 MySQL 吗?
不是“等于”,但它是暴露的前提条件。MySQL 启动后只监听 bind-address 指定的地址;设为 0.0.0.0 表示接受所有 IPv4 接口的连接请求,此时只要防火墙放开、网络可达、账号有远程权限,就真能连上。
风险点在于:很多教程直接让改 bind-address = 0.0.0.0,却没同步收紧账号权限,导致 root@'%' 这类通配符账号成为攻击入口。
- 优先用
bind-address = 127.0.0.1(仅本机),配合 SSH 隧道或应用同机部署 - 若必须远程访问,不要用
root@'%',而是创建专用账号并限定主机:CREATE USER 'app'@'10.0.2.5' IDENTIFIED BY 'pwd'; - 确认
skip-networking未启用(该选项会彻底禁用 TCP 连接,只留 socket)
MySQL 用户权限和 host 字段怎么影响实际连接?
MySQL 认证时,会严格匹配用户名 + 主机名(user@host)组合。同一个用户名,'admin'@'localhost' 和 'admin'@'%' 是两个完全独立的账号,权限互不影响。
常见连接失败原因不是密码错,而是 host 不匹配:比如你用命令 mysql -h 192.168.1.100 -u admin -p 连,MySQL 查的是 admin@'192.168.1.100' 或 admin@'%',而不是 admin@localhost。
- 查看当前生效账号:
SELECT user, host FROM mysql.user; - 删除宽泛 host:
DROP USER 'root'@'%';(保留'root'@'localhost'即可) - 新建账号时,host 写具体 IP 或子网比用
%安全得多,例如'report'@'172.16.0.0/12'
SSL 是否必须开启才能算“安全”?
不是必须,但明文传输密码和数据在非可信网络(如公网、跨机房)下极不推荐。MySQL 支持强制 SSL 连接,但配置稍复杂,容易因证书路径、cipher 或客户端参数不匹配导致连接失败。
典型错误包括:SSL connection error: protocol version mismatch 或客户端报 ERROR 9002 (HY000): SSL is required 却没加 --ssl-mode=REQUIRED。
- 服务端启用 SSL:检查
have_ssl变量是否为YES,并设置ssl-ca、ssl-cert、ssl-key参数 - 强制某账号走 SSL:
ALTER USER 'api'@'%' REQUIRE SSL; - 客户端连接时显式声明:
mysql --ssl-mode=REQUIRED -h db.example.com -u api -p
生产环境若无法配 SSL,至少确保 MySQL 流量走内网或通过跳板机/SSH 隧道,避免裸奔在公网。
