一聚教程网:一个值得你收藏的教程网站

最新下载

热门教程

怎样在CentOS 7环境下配置MySQL 8.0的远程访问权限?

时间:2026-06-19 09:03:58 编辑:袖梨 来源:一聚教程网

MySQL 8.0 默认禁止远程连接,必须同时满足用户 host 允许通配、密码认证插件兼容、防火墙放行、云服务商安全组开放四个条件,缺一不可。

直接说结论:MySQL 8.0 默认禁止远程连接,必须同时满足 用户 host 允许通配、密码认证插件兼容、防火墙放行、云服务商安全组开放 四个条件,缺一不可。

确认 root 或目标用户的 host 是否为 %

MySQL 8.0 的 user 表里,host 字段决定该用户能否从哪台机器登录。默认 'root'@'localhost' 只能本机连。

登录后执行:

USE mysql;<br>SELECT user, host FROM user WHERE user = 'root';

如果 hostlocalhost,远程会报错 ERROR 1045 (28000): Access denied for user 'root'@'xxx.xxx.xxx.xxx'

  • 不建议直接改 root 的 host:执行 UPDATE user SET host = '%' WHERE user = 'root'; 后必须 FLUSH PRIVILEGES;,但存在安全隐患
  • 更稳妥的做法是新建专用用户:CREATE USER 'remote_user'@'%' IDENTIFIED BY 'StrongPass123!';
  • 注意:MySQL 8.0 不再支持 GRANT ... IDENTIFIED BY 一步创建,必须分 CREATE USERGRANT 两步

必须把 authentication_plugin 改成 mysql_native_password

MySQL 8.0 默认用 caching_sha2_password 插件,而 Navicat、旧版 JDBC 驱动、部分 PHP 扩展(如 mysqli)不支持,连接时会报 Authentication plugin 'caching_sha2_password' cannot be loaded

执行:

ALTER USER 'remote_user'@'%' IDENTIFIED WITH mysql_native_password BY 'StrongPass123!';

验证是否生效:

SELECT user, host, plugin FROM user WHERE user = 'remote_user';

返回的 plugin 必须是 mysql_native_password,否则仍连不上。

  • 不能只改密码(ALTER USER ... BY),必须显式指定 IDENTIFIED WITH
  • 如果提示 ERROR 1820 (HY000),说明密码过期或策略不满足,先运行 SET GLOBAL validate_password.policy = LOW; 临时放宽(仅调试用)

检查并开放 3306 端口(本地防火墙 + 云平台安全组)

CentOS 7 默认启用 firewalld,即使 MySQL 服务正常、用户配置正确,端口没开也连不上。

执行:

firewall-cmd --list-ports<br>firewall-cmd --zone=public --add-port=3306/tcp --permanent<br>firewall-cmd --reload

但注意:

  • firewall-cmd --list-ports 返回为空 ≠ 端口关闭,可能只是没加规则;必须用 --add-port 显式添加
  • 阿里云、腾讯云、京东云等 ECS 实例,firewalld 开了也不够——必须去控制台「安全组」里手动放行 TCP 3306 端口,否则流量根本进不到系统
  • 若用 iptables(非 firewalld),命令是:iptables -I INPUT -p tcp --dport 3306 -j ACCEPT && service iptables save

确认 bind-address 没被限制在 127.0.0.1

MySQL 默认监听 127.0.0.1,意味着只响应本机请求。即使用户、插件、防火墙全对,远程仍连不上。

编辑 /etc/my.cnf,在 [mysqld] 段下检查或添加:

bind-address = 0.0.0.0

然后重启服务:

systemctl restart mysqld

验证监听状态:

netstat -tlnp | grep :3306

输出中应含 *:3306(不是 127.0.0.1:3306),才表示监听所有网卡。

  • 如果 /etc/my.cnf 里没有 bind-address,MySQL 8.0 默认行为是绑定 127.0.0.1,这点和 5.7 不同
  • 改完配置一定要重启 mysqldFLUSH PRIVILEGES 对这个无效
  • SELinux 若启用(getenforce 返回 Enforcing),需额外执行 setsebool -P mysqld_connect_any 1,否则可能拦截网络连接

真正卡住人的地方,往往不是某一步做错了,而是四件事只做了三件——比如开了防火墙端口却忘了改 bind-address,或者改了用户 host 却没换认证插件。每一步都要单独验证,别跳着走。

热门栏目