1. 修改MySQL监听地址(bind-address)
默认情况下,MySQL仅监听本地回环地址(127.0.0.1),仅允许本地连接。若需允许远程访问,需修改配置文件(通常为/etc/mysql/my.cnf或/etc/mysql/mysql.conf.d/mysqld.cnf),找到[mysqld]部分的bind-address参数,将其设置为服务器IP地址(如192.168.1.100)或0.0.0.0(监听所有接口)。修改后需重启MySQL服务(sudo systemctl restart mysql)使更改生效。
2. 配置防火墙规则
Debian系统默认可能启用ufw(Uncomplicated Firewall)或iptables防火墙,需允许MySQL的默认端口(3306)的入站流量。若使用ufw,可执行sudo ufw allow 3306/tcp;若使用iptables,可执行sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT。为提升安全性,建议限制仅允许可信任IP地址访问(如sudo ufw allow from 192.168.1.100 to any port 3306 proto tcp)。
3. 安全加固配置
sudo mysql_secure_installation脚本设置root用户强密码(包含大小写字母、数字和特殊字符,长度不少于8位),并定期更换。DELETE FROM mysql.user WHERE User=''; FLUSH PRIVILEGES;,移除无需认证的匿名用户,减少潜在攻击面。GRANT命令仅为特定用户授予远程权限(如GRANT ALL PRIVILEGES ON database_name.* TO 'user'@'trusted_ip' IDENTIFIED BY 'password';),而非'root'@'%'。4. 加密连接(可选但推荐)
为防止数据在传输过程中被窃取,建议启用MySQL SSL加密。修改配置文件,在[mysqld]部分添加ssl=1,并配置SSL证书路径(如ssl-ca=/path/to/ca.pem、ssl-cert=/path/to/server-cert.pem、ssl-key=/path/to/server-key.pem)。重启MySQL服务后,可通过SHOW VARIABLES LIKE '%ssl%';验证加密是否启用。
5. 验证网络配置
修改完成后,需通过远程主机测试连接(如使用mysql -h server_ip -u user -p命令),确认是否能正常访问。若无法连接,需检查:① MySQL配置文件的bind-address是否正确;② 防火墙是否允许3306端口;③ 远程主机的IP是否在允许列表中。
6. 网络接口配置(可选)
若需静态IP地址,可编辑/etc/network/interfaces文件(Debian 10及以上版本可使用netplan,配置文件位于/etc/netplan/目录),设置address(IP地址)、netmask(子网掩码)、gateway(网关)等参数,确保服务器网络连通性。修改后需重启网络服务(sudo systemctl restart networking)或应用netplan配置(sudo netplan apply)。
