MySQL无IP黑白名单开关,唯一可靠方式是在创建/修改用户时精确限定Host字段为指定IP或网段,并配合系统防火墙加固;bind-address仅控制监听地址,不实现访问控制。
MySQL 本身没有“IP 黑名单”或“全局白名单”开关,只允许指定 IP 访问的唯一可靠方式,是**在创建/修改用户时,把 Host 字段精确限定为该 IP(或网段)**,再配合系统级防火墙加固。其他所谓“配置文件里加一行就限制”的说法,基本是误解或失效方案。
用 CREATE USER 或 GRANT 显式绑定 IP
这是最直接、最可控的方式。MySQL 的权限模型本质就是 “user@host” 二元组,host 支持 IP、域名、通配符(%、_),但不支持正则或子网掩码(CIDR)。
- 只允许
192.168.1.100登录:CREATE USER 'appuser'@'192.168.1.100' IDENTIFIED BY 'strong_pass';
GRANT SELECT, INSERT ON mydb.* TO 'appuser'@'192.168.1.100';
FLUSH PRIVILEGES; - 允许整个
192.168.1.x网段:CREATE USER 'appuser'@'192.168.1.%' IDENTIFIED BY 'strong_pass';
- 禁止任意 IP 匹配(比如删掉
'appuser'@'%'):DROP USER 'appuser'@'%';
⚠️ 注意:'appuser'@'localhost' 和 'appuser'@'127.0.0.1' 是两个不同账户;前者走 Unix socket,后者走 TCP loopback,别漏掉其中一个。
改已有用户?别用 UPDATE mysql.user
虽然 UPDATE mysql.user SET Host='192.168.1.100' WHERE User='appuser' AND Host='%'; 看似能改,但风险极高:
- MySQL 8.0+ 对
mysql.user表结构有严格校验,手动 UPDATE 可能破坏内部一致性 - 权限缓存可能未及时刷新,导致行为不可预测
- 更安全的做法是:
DROP USER 'appuser'@'%';再CREATE USER 'appuser'@'192.168.1.100'
如果必须保留原用户权限,用 RENAME USER 'appuser'@'%' TO 'appuser'@'192.168.1.100'; —— 这是 MySQL 官方支持的安全迁移方式。
防火墙才是兜底防线,不是可选项
仅靠 MySQL 用户权限,无法防止连接建立阶段的暴力探测或耗尽连接数攻击。必须在 OS 层封死非授权 IP 的 3306 端口访问。
- 用
iptables(CentOS 6 / Ubuntu 16.04):iptables -A INPUT -p tcp --dport 3306 -s 192.168.1.100 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j DROP - 用
firewalld(CentOS 7+):firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="3306" protocol="tcp" accept'
firewall-cmd --reload
⚠️ 关键点:先 ACCEPT 白名单,再 DROP 其他所有 —— 顺序错了会把自己锁在外面。
bind-address 不是用来“限制 IP”,而是“监听地址”
很多人误以为在 my.cnf 里设 bind-address = 192.168.1.100 就能限制访问,其实它只是让 mysqld **只监听那个 IP 的 3306 端口**。如果服务器有多个网卡,这可以缩小攻击面,但它 ≠ 权限控制:
- 若设为
127.0.0.1,外部根本连不上(连GRANT都没意义) - 若设为
0.0.0.0或注释掉,MySQL 默认监听所有接口 —— 此时全靠用户@host和防火墙拦 - 改完必须
systemctl restart mysqld,否则不生效
真正容易被忽略的细节是:**MySQL 权限检查发生在 TCP 连接建立之后,而防火墙拦截发生在连接之前。两者缺一不可,且防火墙是第一道也是最廉价的屏障。**