如何在mysql中防止暴力破解登录

启用connection_control插件限制登录失败次数并设置延迟，2. 使用validate_password强制强密码策略，3. 限制远程访问并配置防火墙，4. 创建最小权限账户禁用root远程登录，5. 监控日志并设置告警，通过多层防护阻止暴力破解。

防止 MySQL 暴力破解登录的关键在于限制攻击者反复尝试用户名和密码的能力。这需要从访问控制、账户安全策略和系统监控等多方面入手。以下是几个实用且有效的措施。

1. 启用并配置连接失败限制

MySQL 本身不自带账户锁定功能，但可以通过插件来实现。推荐使用 validate_password 和 connection_control 插件来限制登录尝试次数。

INSTALL PLUGIN connection_control SONAME 'connection_control.so';
INSTALL PLUGIN connection_control_failed_login_attempts SONAME 'connection_control.so';

SET GLOBAL connection_control_min_connection_delay = 1000;  -- 延迟1秒起
SET GLOBAL connection_control_max_connection_delay = 5000;  -- 最大延迟5秒

这样，多次失败后客户端必须等待更久才能再次尝试，显著降低暴力破解效率。

2. 使用强密码策略

避免使用弱密码是防止被猜解的基础。通过 MySQL 的密码验证插件强制执行复杂度要求。

INSTALL PLUGIN validate_password SONAME 'validate_password.so';

SET GLOBAL validate_password.policy = MEDIUM;

该策略会要求密码包含数字、大小写字母和特殊字符，有效提升破解难度。

超级简历WonderCV

免费求职简历模版下载制作，应届生职场人必备简历制作神器

271

查看详情

3. 限制远程访问与使用防火墙

大多数暴力破解来自网络。减少暴露面是最直接的防护方式。

• 修改 my.cnf 配置文件，绑定 MySQL 到内网或本地地址：

  bind-address = 127.0.0.1

  登录后复制
• 如需远程访问，仅允许特定 IP 通过 iptables 或云平台安全组访问 3306 端口
• 更改默认端口（可选），降低自动化扫描命中率

4. 创建最小权限账户并禁用 root 远程登录

不要使用 root 账户对外服务，应为每个应用创建独立账号，并限制其主机来源。

DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1');
FLUSH PRIVILEGES;

CREATE USER 'app_user'@'192.168.1.100' IDENTIFIED BY 'StrongPass!2024';
GRANT SELECT, INSERT ON app_db.* TO 'app_user'@'192.168.1.100';

5. 监控登录日志并设置告警

及时发现异常登录行为有助于快速响应。

• 启用 general_log 或审计日志（如企业版 Audit Plugin 或 MariaDB 的 Aria 引擎）
• 定期检查错误日志中 "Access denied" 记录
• 结合脚本或 SIEM 工具对高频失败登录进行告警

基本上就这些。关键不是依赖单一手段，而是组合使用访问控制、登录限制和日志监控，形成纵深防御。只要不让攻击者无限试错，就能有效阻断暴力破解。

以上就是如何在mysql中防止暴力破解登录的详细内容，更多请关注php中文网其它相关文章！