mysql如何配置访问控制列表

MySQL通过用户+主机权限体系、防火墙及配置文件实现多层访问控制，核心包括：1. 创建用户时限定主机以控制连接来源；2. 使用GRANT分配最小必要权限；3. 配合操作系统防火墙限制3306端口访问；4. 配置bind-address限制监听接口，综合措施确保安全。

MySQL 本身没有传统意义上的“访问控制列表（ACL）”配置文件，但它的权限系统本质上就是基于用户、主机和权限的访问控制机制。通过用户账户管理、权限分配和网络限制，可以实现类似 ACL 的功能。以下是配置 MySQL 访问控制的核心方法。

1. 创建用户并限制访问主机

MySQL 用户由用户名和主机名共同定义，例如 'user'@'localhost' 和 'user'@'192.168.1.%' 是两个不同的账户。通过指定主机，可以控制从哪些设备连接。

• 只允许本地访问：

  CREATE USER 'admin'@'localhost' IDENTIFIED BY 'password';

  登录后复制
• 允许特定 IP 访问：

  CREATE USER 'admin'@'192.168.1.100' IDENTIFIED BY 'password';

  登录后复制
• 允许某个子网访问：

  CREATE USER 'dev'@'192.168.1.%' IDENTIFIED BY 'password';

  登录后复制
• 禁止远程访问：不创建任何

  '%'

  登录后复制
  或具体 IP 的用户即可。

2. 分配最小必要权限

使用 GRANT 命令为用户分配精确权限，避免使用

GRANT ALL

• GRANT SELECT, INSERT ON db_name.table_name TO 'user'@'host';

  登录后复制

• GRANT SELECT ON sales.* TO 'reporter'@'192.168.1.%';

  登录后复制
• 执行后运行

  FLUSH PRIVILEGES;

  登录后复制
  生效（通常自动刷新）。

3. 使用防火墙限制网络访问

在操作系统层面使用防火墙（如 iptables、firewalld 或云安全组）限制对 MySQL 端口（默认 3306）的访问。

问问小宇宙

问问小宇宙是小宇宙团队出品的播客AI检索工具

77

查看详情

• 只允许业务服务器或管理终端的 IP 访问 3306 端口。
• 生产环境禁止对公网开放 3306 端口。
• 可考虑修改默认端口减少扫描攻击（非主要防护手段）。

4. 配置 MySQL 绑定地址

编辑 MySQL 配置文件（通常是

/etc/mysql/my.cnf

/etc/my.cnf

[mysqld]
bind-address = 127.0.0.1

这表示只接受本地连接。若需远程访问，改为内网 IP，例如

bind-address = 192.168.1.10

0.0.0.0

基本上就这些。MySQL 的“访问控制”靠的是用户+主机粒度的权限体系，结合操作系统防火墙和配置文件限制，能有效实现安全访问管理。关键是不要依赖单一手段，而是多层控制。

以上就是mysql如何配置访问控制列表的详细内容，更多请关注php中文网其它相关文章！