直接结论:MySQL 社区版本身没有直接禁止 IP 的原生配置,最稳妥的方案是结合操作系统防火墙限制访问来源,并配合 Fail2Ban 等工具监控日志实现失败次数限制。
先说结论:不要依赖 MySQL 配置文件实现自动封禁,应通过系统层防火墙固定白名单,并使用外部工具动态拦截异常 IP。
- 先判断:确认数据库版本及是否允许修改服务器防火墙策略。
- 优先做:通过防火墙 whitelist 可信 IP,安装 Fail2Ban 监控错误日志。
- 再验证:尝试错误密码确认 IP 是否被暂时封锁,检查日志记录。
命令速用版
如果你使用的是 Ubuntu 且安装了 UFW 防火墙,可参考以下命令快速限制仅允许特定 IP 访问 3306 端口:
sudo ufw default deny incoming
sudo ufw allow from 192.168.1.0/24 to any port 3306
sudo ufw enable若需监控登录失败次数,安装 Fail2Ban 后启用 MySQL jails:
sudo apt install fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
# 在 jail.local 中确保 [mysqld-auth] enabled = true为什么会这样
MySQL 社区版(Community Edition)的认证机制在设计上是无状态的,意味着数据库本身不会记录“某个 IP 连续失败多少次”并自动执行封禁操作。虽然 MySQL 5.7.17 及以上版本引入了 connection_control 插件,但它的作用是在多次失败后增加连接延迟,而非直接阻断 IP,这对缓解暴力破解有一定帮助,但无法彻底阻止攻击。
因此,有效的防御必须上移到操作系统层面。防火墙负责静态限制“谁能连”,Fail2Ban 这类工具负责动态识别“谁在乱试”,两者结合才能构成完整的防护。
分步处理
第一步:收缩网络访问权限
最根本的方法是不要让数据库端口暴露在公网。如果必须开放,请在防火墙层面只放行受信任的 IP 段。检查当前防火墙状态,确保 3306 端口不对 0.0.0.0/0 开放。
第二步:配置 Fail2Ban 动态封禁
Fail2Ban 通过读取 MySQL 错误日志(通常位于 /var/log/mysql/error.log 或 /var/log/mysqld.log)来识别失败尝试。编辑 /etc/fail2ban/jail.local,找到 [mysqld-auth] 部分,确认日志路径与实际一致。设置 maxretry 为允许的失败次数,bantime 为封禁时长。
第三步:优化 MySQL 用户权限
检查数据库用户表,确保没有用户 host 字段为 % 且密码简单。使用 SELECT user, host FROM mysql.user; 查看,将远程登录用户的 host 修改为具体 IP 而非通配符,从账户层面减少被爆破面。
怎么验证是否生效
配置完成后,重启 Fail2Ban 服务。使用 sudo fail2ban-client status mysqld-auth 查看当前状态,确认过滤器已加载。你可以从非白名单 IP 尝试连接数据库,故意输入错误密码多次,然后检查防火墙规则(如 sudo iptables -L 或 sudo ufw status)是否增加了拒绝该 IP 的规则。同时观察 MySQL 错误日志,确认有新的访问拒绝记录生成。
常见坑
1. 把自己锁在外面:配置防火墙时,务必先放行 SSH 端口和自己的管理 IP,再启用严格策略,否则可能导致无法远程维护服务器。
2. 日志路径不匹配:不同 Linux 发行版或 MySQL 安装方式(如源码编译、Docker)的日志路径不同,Fail2Ban 若读不到日志则无法触发封禁。
3. 误以为 connection_control 能封 IP:该插件仅增加延迟,攻击者仍可继续尝试,不可将其作为唯一的防御手段。
4. Docker 环境特殊性:如果 MySQL 运行在容器中,Fail2Ban 需要挂载宿主机的日志目录,且防火墙规则需作用于宿主机网络接口,配置复杂度会增加。
参考来源
- MySQL Official Documentation, "Connection Control Plugins", dev.mysql.com
- Fail2Ban Documentation, "Jails Configuration", fail2ban.org
原文链接:https://www.zjcp.cc/ask/11378.html