怎样管理mysql的3306端口本地访问/外部访问

2015年2月12日 | 分类: 【技术】

mysql访问权限设置

1. 确认一下3306是否对外开放,mysql默认状态下是不开放对外访问功能的

查看的办法如下:

netstat -an | grep 3306

显示结果:

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN

从上面可以看出,mysql的3306端口只是监听本地的连接,这样就阻碍了外部IP对该数据库的访问。

修改办法:进入到mysql的配置文件所在目录(/etc/mysql/my.cnf)下,找到文件中的如下内容:

# Instead of skip-networking the default is now to listen only on 
# localhost which is more compatible and is not less secure. 
bind-address = 127.0.0.1

将bind-address注释掉,或者改成你想要使用的客户端主机IP。 

这样mysql的远程访问端口就算开启了,下面还有一个更重要的步骤,就是要给远程用户授权。

2. 确认客户端用户是否具有访问权限。

为了让访问mysql的客户端的用户有访问全部权限,我们可以通过如下方式为用户进行授权:

mysql> grant all on *.* to user_name@"%" identified by "user_password";  

上面的命令授予的用户权限可以访问mysql中的任意数据库(database)和表(table),%表示所有IP , all表示所有权限 , user_password是登陆数据库的密码。

GRANT ALL PRIVILEGES ON *.* TO ‘UserName’@'Domain||IP’ IDENTIFIED BY ‘Password’;

每进行一次授权,就会在mysql数据库的user表插入一条,就算同一个用户也会产生多条,因为授权不同,故对同一个帐号,授权于不同的机器,不同的使用权,进行多次的grant操作,就会产生多条user名相同的记录。

最后让授权生效的终极武器:

FLUSH PRIVILEGES;

格式:grant 权限 on 数据库名.表名 用户名@客户IP identified by “客户密码”;

例如:

mysql>grant select,insert,update,delete on *.* to admin@'%' identified by '123456';

新加的用户admin,其host为%,表示任何IP都可以连接进来.

注意概念:

host = localhost 的时候,表示登陆者是本机

直接修改mysql数据库的user表也可以达到修改权限的效果,最后要flash一下

Linux下如何关闭mysql的3306端口本地访问

1. 在/etc/sysconfig/iptables中关闭3306端口,

2. 修改/etc/my.cn(修改前备份,养成良好习惯,修改后,在修改语句前加上注释及修改日期及修改人)

3. 在[mysqld]下添加skip-networking

4. 重启mysql, /etc/init.d/mysqld restart

本地程序可以通过mysql.sock来连接,不影响使用,既提高了访问速度,又提高了安全性,避免远程连接mysql数据库。

Linux开放MySQL的3306端口

Linux iptables 开放Mysql端口允许远程访问

修改防火墙配置文件:

vi /etc/sysconfig/iptables

增加下面一行:

-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT

如果想开通21等端口,只需要将3306换成21等要开放的端口就可以了。

配置后,重新启动iptable

service iptables restart

这时就可以从其他机器访问Mysql了。

注意:

-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp-host-prohibited

-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp-host-prohibited
是拒绝icmp访问,对于其它的报文返回一个主机禁止访问的错误

开通3306 端口的行必须在icmp-host-prohibited前

如果防火墙有问题可以用setup命令设置。