文档章节

MySQL 开启与关闭远程访问

颖辉小居
 颖辉小居
发布于 2017/03/17 11:11
字数 1764
阅读 180
收藏 1

MySQL 开启与关闭远程访问


(1)通过MySQL用户去限制访问

权限系统目的:

MySQL基于安全考虑root账户一般只能本地访问,但是在开发过程中可能需要打开root的远程访问权限,今天介绍的就是如何开启和关闭Mysql远程访问

MySQL权限系统的主要功能是证实连接到一台给定主机的用户,并且赋予该用户在数据库上的SELECT、INSERT、UPDATE和DELETE权限。 附加的功能包括有匿名的用户并对于MySQL特定的功能例如LOAD DATA INFILE进行授权及管理操作的能力。

权限系统原理:

MySQL权限系统保证所有的用户只执行允许做的事情。当你连接MySQL服务器时,你的身份由你从那儿连接的主机和你指定的用户名来决定。连接后发出请求后,系统根据你的身份和你想做什么来授予权限。

MySQL在认定身份中考虑你的主机名和用户名字,是因为几乎没有原因假定一个给定的用户在因特网上属于同一个人。例如,从office.com连接的用户joe不一定和从elsewhere.com连接的joe是同一个人。MySQL通过允许你区分在不同的主机上碰巧有同样名字的用户来处理它:你可以对joe从office.com进行的连接授与一个权限集,而为joe从elsewhere.com的连接授予一个不同的权限集。

阶段1:服务器检查是否允许你连接。 阶段2:假定你能连接,服务器检查你发出的每个请求。看你是否有足够的权限实施它。例如,如果你从数据库表中选择(select)行或从数据库删除表,服务器确定你对表有SELECT权限或对数据库有DROP权限。 如果连接时你的权限被更改了(通过你和其它人),这些更改不一定立即对你发出的下一个语句生效。MySQL权限是保存在cache中,这个时候就你需要执行
flush privileges;

开启远程访问:

- 更新用户
use mysql;

update user set host = "%" where user = "root";

flush privileges;

- 添加用户
use mysql;

insert into user(host, user, password) values("%", "root", password("yourpassword"))

grant all privileges on *.* to 'root'@'%' with grant option #赋予任何主机访问数据库权限

flush privileges;

关闭远程访问:
use mysql;

update user set host = "localhost" where user = "root" and host= "%";

flush privileges;

查看用户权限:
use information_schema;

select * from user_privileges;

查看当前mysql用户:
use mysql;

select user, host from user;

更新用户:
update mysql.user set password=password('新密码') where User="phplamp" and Host="localhost";

flush privileges;

删除用户:
DELETE FROM user WHERE User="phplamp" and Host="localhost";

flush privileges;

user host指定方法:
Host值可以是主机名或IP号,或’localhost’指出本地主机。
你可以在Host列值使用通配符字符“%”和“_”。
host值’%’匹配任何主机名,空Host值等价于’%’。它们的含义与LIKE操作符的模式匹配操作相同。例如,’%’的Host值与所有主机名匹配,而’%.mysql.com’匹配mysql.com域的所有主机。

ip地址例子:
192.0.0.0/255.0.0.0(192 A类网络的任何地址)
192.168.0.0/255.255.0.0(192.168 A类网络的任何地址)
192.168.1.0/255.255.255.0(192.168.1 C类网络的任何地址)
192.168.1.1(只有该IP)

mysql doc:

http://dev.mysql.com/doc/refman/5.1/zh/database-administration.html
(2)通过IpTable

iptables是一款防火墙软件。它在Ubuntu系统中是默认安装的。通常情况下,iptables随系统一起被安装,但没有对通信作任何限制,因此防火墙并没有真正建立起来。

iptables帮助:
sudo iptables -h #下面全部使用root用户调用指令

查看iptables:
iptables -L

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

可以看到,上面规则都是空的

允许已建立的连接接收数据:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

开放指定的端口:

接下来,我们可以尝试开放 ssh 22端口,告诉iptables允许接受到所有目标端口为22的tcp报文通过
iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT

执行上面的命令,一条规则会被追加到INPUT规则表的末尾(-A表示追加)。根据这条规则,对所有从接口eth0(-i指出对通过哪个接口的报文运用此规则)接收到的目标端口为22的报文,iptables要执行ACCEPT行动(-j指明当报文与规则相匹配时应采取的行动)。

开放80端口:
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT

这时,你再次去看看规则表中内容,你会发现有
iptables -L

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:www

通过上述命令,我们已经代开了SSH和web服务的相应的端口,但由于没有阻断任何通信,因此所有的报文都能通过,所以接下来,我们就可以尝试阻断3306 mysql端口

阻断通讯:
iptables -A INPUT -p tcp -i eth0 --dport 3306 -j DROP

通过这样指令,就可以阻断任何访问3306报文,但是这样就有一个问题,就是可能连我们自己信任的主机都无法访问mysql了,所以,我们需要编辑下iptables,添加特定允许访问的主机
iptables -I INPUT 4 -p tcp -s ip_address -i eth0 --dport 3306 -j ACCEPT

好了,通过上面,我们把该指令插入到规则表里第四行,然后允许特定ip访问3306端口

Logging记录:

如果希望被丢失的报文记录到syslog中,最简单的方法可以这样做:
iptables -I INPUT 5 -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

保存设置:

机器重启后,iptables中的配置信息会被清空。您可以将这些配置保存下来,让iptables在启动时自动加载,省得每次都得重新输入。iptables-save和iptables-restore 是用来保存和恢复设置的。

先将防火墙规则保存到/etc/iptables.up.rules文件中
iptables-save > /etc/iptables.up.rules

然后修改脚本/etc/network/interfaces,使系统能自动应用这些规则(最后一行是我们手工添加的)。
auto eth0
iface eth0 inet dhcp
pre-up iptables-restore < /etc/iptables.up.rules

当网络接口关闭后,您可以让iptables使用一套不同的规则集。
auto eth0
iface eth0 inet dhcp
pre-up iptables-restore < /etc/iptables.up.rules
post-down iptables-restore < /etc/iptables.down.rules

技巧(Tips):

大多数人并不需要经常改变他们的防火墙规则,因此只要根据前面的介绍,建立起防火墙规则就可以了。但是如果您要经常修改防火墙规则,以使其更加完善,那么您可能希望系统在每次重启前将防火墙的设置保存下来。为此您可以在/etc/network/interfaces文件中添加一行:
pre-up iptables-restore < /etc/iptables.up.rules
post-down iptables-save > /etc/iptables.up.rules

 

扩展:mysql远程访问的开启

http://jingyan.baidu.com/article/046a7b3ed85f3ef9c27fa9dc.html

本文转载自:http://blog.csdn.net/duck_arrow/article/details/13621935

颖辉小居

颖辉小居

粉丝 34
博文 192
码字总数 81120
作品 0
东城
高级程序员
私信 提问
centos7环境下mysql5.7的安装与配置

centos7环境下mysql5.7的安装与配置 最近无事闲来折腾虚拟机,以前都是折腾云服务器,现在自己捣捣。看到mysql的教程蛮好的,准备做个笔记。原文来自mysql5.7的安装与配置(centos7环境) 第一...

优惠码领取
2018/07/22
0
0
mysql开启远程访问

不使用ssh连接mysql的方式: 开启mysql远程访问:   vi /etc/mysql/my.cnf #skip-external-locking #bind-address = 127.0.0.1 skip-name-resolve 在centos中my.cnf缺少很多配置项,并没有...

Vincent-Duan
2016/10/16
94
0
linux远程拷贝及防火墙设置

系统文件: scp远程copy命令:从linux服务器A的/root/目录下拷贝文件MySQL-server-5.6.15-1.linuxglibc2.5.x8664.rpm到linux服务器B的 /usr/local/目录: 登录服务器B,执行下面命令: 例如:...

xiejunbo
2014/10/27
63
0
centos防火墙配置哪里错了,开启就无法使用ftp连接

问题如下,下面是我iptables配置 我现在开启vsftpd服务了,防火墙开启时 远程可以访问apache,也可以访问mysql,就是无法用ftp连接 连接时老在这个界面 但是,防火墙关闭时,是可以连接上ftp的,请...

hphper
2015/01/23
4.3K
8
使用telnet访问某些服务器的端口,以测试可达性,为何有时要好几秒才能成功建立连接?

最近发现,在某些Freebsd服务器上使用telnet访问远程服务器端口,要好几秒才能建立成功连接。为何?今天下午终于搞清楚了。原来telnet在访问远程服务器时,默认启用了反向解析功能。而我们的...

swanor
2018/06/29
0
0

没有更多内容

加载失败,请刷新页面

加载更多

rime设置为默认简体

转载 https://github.com/ModerRAS/ModerRAS.github.io/blob/master/_posts/2018-11-07-rime%E8%AE%BE%E7%BD%AE%E4%B8%BA%E9%BB%98%E8%AE%A4%E7%AE%80%E4%BD%93.md 写在开始 我的Arch Linux上......

zhenruyan
今天
4
0
简述TCP的流量控制与拥塞控制

1. TCP流量控制 流量控制就是让发送方的发送速率不要太快,要让接收方来的及接收。 原理是通过确认报文中窗口字段来控制发送方的发送速率,发送方的发送窗口大小不能超过接收方给出窗口大小。...

鏡花水月
今天
8
0
OSChina 周日乱弹 —— 别问,问就是没空

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @tom_tdhzz :#今日歌曲推荐# 分享容祖儿/彭羚的单曲《心淡》: 《心淡》- 容祖儿/彭羚 手机党少年们想听歌,请使劲儿戳(这里) @wqp0010 :周...

小小编辑
今天
891
11
golang微服务框架go-micro 入门笔记2.1 micro工具之micro api

micro api micro 功能非常强大,本文将详细阐述micro api 命令行的功能 重要的事情说3次 本文全部代码https://idea.techidea8.com/open/idea.shtml?id=6 本文全部代码https://idea.techidea8....

非正式解决方案
今天
5
0
Spring Context 你真的懂了吗

今天介绍一下大家常见的一个单词 context 应该怎么去理解,正确的理解它有助于我们学习 spring 以及计算机系统中的其他知识。 1. context 是什么 我们经常在编程中见到 context 这个单词,当...

Java知其所以然
昨天
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部