1. 没有开启 MySQL 的远程登陆帐号。
1.找到mysql数据库的user表。在user表中新建一条数据,设置User(username)和Host(开放访问MySQL的IP:例如123.118.17.201)以及登录密码。这样就设置了允许访问的用户名和IP地址(若想所有IP都可以访问,则可将Host设置为‘%’,但是这样很危险,不建议)。
若想myuser使用mypassword从任何主机连接到mysql服务器
mysql> GRANT ALL PRIVILEGES ON *.* TO 'myuser'@'%' IDENTIFIED BY 'mypassword' WITH GRANT OPTION;
若想仅允许用户myuser从ip为 123.57.20.21 的主机连接到mysql服务器,并使用mypassword作为密码
mysql> GRANT ALL PRIVILEGES ON *.* TO 'myuser'@'123.57.20.21' IDENTIFIED BY 'mypassword' WITH GRANT OPTION;
2.修改完user表后执行 flush privileges 刷新权限。
2. 配置文件限制远程访问。
1.使用 ss -tlnp 命令查看网络接口开启状态
若如上图所示,或者没有开启3306端口。则mysql仅允许服务器本地访问。
2.打开 MySQL 配置文件 my.cnf(/etc/mysql/my.cnf)
找到
bind-address = 127.0.0.1
或者
skip-networking
直接注释掉,然后重启mysql。
skip-networking : 开启 skip-networking 选项可以彻底关闭MySQL的TCP/IP连接方式。
再使用 ss -tlnp 命令查看网络接口开启状态
3. iptables (防火墙) 限制了外部访问MySQL接口。
首先声明,此步骤修改要慎重,千万不要轻易使用sudo iptables -F命令清空iptables,很可能造成服务器拒绝所有端口访问(包括80端口,也就是服务器上的网站无法访问了),ssh断开连接(无法远程控制),只能通过重启服务器才能恢复正常。
1.使用 sudo iptables -L -n 查看iptables设置
%sudo iptables -L -n Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
发现服务器仅开放了21(ftp),22(ssh),和80(http)端口。
2.修改 iptables
#将iptables配置存储到一个文件 %sudo iptables-save > ~/iptables.save # 编辑这个文件 %sudo vim ~/iptables.save # Generated by iptables-save v1.4.21 on Tue Sep 13 09:00:12 2016 *filter :INPUT DROP [31186:1828159] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [73190648:74353549865] -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -m state --state ESTABLISHED -j ACCEPT COMMIT # Completed on Tue Sep 13 09:00:12 2016
做出如下修改:
# Generated by iptables-save v1.4.21 on Tue Sep 13 09:00:12 2016 *filter :INPUT DROP [31186:1828159] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [73190648:74353549865] -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT #-s 后为允许访问的IP -A INPUT -p tcp -m tcp -s 123.57.20.21 --dport 3306 -j ACCEPT -A INPUT -p tcp -m tcp -s 123.57.20.21 --dport 3306 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -m state --state ESTABLISHED -j ACCEPT COMMIT # Completed on Tue Sep 13 09:00:12 2016 保存
3.将iptables.save中的配置应用到服务器的iptables中
%sudo cat ~/iptables.save | sudo iptables-restore #(注意:这样修改iptables只能临时生效,重启服务器后会失效,要想永久生效,需要修改开机启动时iptables默认读取的文件)
此时使用 sudo iptables -L -n 查看iptables设置
%sudo iptables -L -n Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ACCEPT tcp -- 123.57.20.21 0.0.0.0/0 tcp dpt:3306 ACCEPT tcp -- 123.57.20.21 0.0.0.0/0 tcp dpt:3306 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
