最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
MySQL如何配置以防止非法用户暴力破解数据库密码
时间:2026-07-14 10:02:03 编辑:袖梨 来源:一聚教程网
FAILED_LOGIN_ATTEMPTS与PASSWORD_LOCK_TIME必须成对设置且依赖validate_password插件启用,仅对caching_sha2_password或mysql_native_password用户生效;单独设置无效,单位为天,锁定期满需成功登录才解锁。
FAILED_LOGIN_ATTEMPTS 和 PASSWORD_LOCK_TIME 必须成对设置
单独执行 ALTER USER 'u'@'%' FAILED_LOGIN_ATTEMPTS 3 不会触发任何锁定行为,MySQL 静默忽略。这两个参数是硬性绑定的:缺一不可,顺序无关,但少一个就完全失效。
- 新建用户时必须一次性写全:
CREATE USER 'api'@'%' IDENTIFIED WITH caching_sha2_password BY 'pwd' FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME 0.04167(锁 1 小时) - 已有用户修改需连认证插件一起换:
ALTER USER 'api'@'%' IDENTIFIED WITH caching_sha2_password BY 'newpwd' FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME 0.04167 -
PASSWORD_LOCK_TIME单位是「天」:锁 5 分钟要写0.00347(5 ÷ 1440),写0表示永久锁定,不是“不锁定” - 锁定期满后不会自动解锁——必须有一次成功登录,才会重置失败计数并清除
account_locked = 'Y'
validate_password 插件不是可选,而是必需
即使参数写全、插件匹配,validate_password 没启用,失败登录也不会累加计数,mysql.user 里永远看不到 account_locked = 'Y',错误日志里也搜不到 Too many failed login attempts。
- 检查是否激活:
SELECT PLUGIN_NAME, PLUGIN_STATUS FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME = 'validate_password',状态必须是ACTIVE - 启用方式二选一:配置文件加
plugin_load_add = validate_password.so后重启;或运行INSTALL PLUGIN validate_password SONAME 'validate_password.so' - 启用后会附带激活密码强度策略(如
validate_password.length),可能影响已有建用户脚本,需提前验证
connection_control 插件装两个组件才生效
只装 CONNECTION_CONTROL 是不够的,它负责延迟逻辑,但失败计数依赖配套组件 CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS。没装后者,SHOW VARIABLES LIKE '%connection_control%' 看不到任何相关变量,所有配置都白配。
- 必须按顺序执行:
INSTALL PLUGIN CONNECTION_CONTROL SONAME 'connection_control.so',再执行INSTALL PLUGIN CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS SONAME 'connection_control.so' -
connection_control_failed_connections_threshold参数不写进my.cnf就不持久——SET GLOBAL设置后重启即失效 - 注意单位:
connection_control_min_connection_delay是毫秒,不是秒;max值设太高(如 60000)可能卡死连接池,引发Too many connections -
'root'@'localhost'和所有本地连接默认被绕过,这是设计行为,不是 bug
别信“%”通配符,IP 白名单才是第一道墙
只要 3306 端口对公网开放,且用户 Host 是 '%' ,暴力破解就始终存在真实风险。MySQL 自身的账户锁定只是最后一道防线,不是替代网络隔离的方案。
- 禁用远程 root:
DELETE FROM mysql.user WHERE user='root' AND host!='localhost',然后FLUSH PRIVILEGES - 业务账号必须绑定具体 IP 或内网段:
CREATE USER 'webapp'@'192.168.10.50' IDENTIFIED BY 'strong_pwd' - 云环境务必在安全组层面只放行应用服务器内网 IP;物理机用
iptables或ufw严格限制源地址 - bind-address 绝不能设为
0.0.0.0,优先设为127.0.0.1或内网地址
caching_sha2_password + validate_password + FAILED_LOGIN_ATTEMPTS/PASSWORD_LOCK_TIME 三者同时在线,再加上 CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS 的延迟压制和防火墙层的 IP 白名单——少任何一个环节,攻击者都可能找到绕过路径。
相关文章
- 繁花漫画正版直达链接在哪 07-14
- 神探杰克鼠进口货物支线任务攻略 07-14
- 掌上衡水app如何查看资讯 07-14
- claude-skills 是什么?355 个 Claude Code 技能包合集介绍(2026更新版) 07-14
- 《深海迷航2:异星水域》快速解锁蝌蚪号攻略-详细步骤解析 07-14
- 蚂蚁庄园小课堂2026年1月16日最新题目答案 07-14