印刻数据库

外观

MySQL 端口管理

端口管理是 MySQL 数据库安全的重要组成部分,它决定了数据库服务器监听的网络端口,以及如何保护这些端口免受未授权访问。合理的端口管理配置可以有效防止端口扫描、恶意攻击和未授权访问,保障数据库服务器的网络安全。本文将详细介绍 MySQL 端口管理的配置、安全策略和最佳实践,包括不同版本的端口特性差异。

端口管理基础

端口管理的重要性

在生产环境中,端口管理不当可能导致严重的安全问题:

  • 端口扫描:攻击者可能通过端口扫描发现开放的 MySQL 端口
  • 未授权访问:开放的端口可能导致未授权用户访问数据库
  • 恶意攻击:攻击者可能通过开放的端口发起各种攻击,如 SQL 注入、暴力破解等
  • 端口冲突:端口冲突可能导致 MySQL 服务无法启动或运行异常
  • 网络暴露:不必要的端口暴露会增加数据库的攻击面

MySQL 常用端口

MySQL 数据库使用以下常用端口:

端口号用途默认状态
3306MySQL 数据库服务默认端口开放
33060MySQL 8.0+ X Protocol 端口开放(MySQL 8.0+)
33061MySQL 8.0+ 复制端口(用于 Group Replication)按需开放

不同版本的端口特性

MySQL 5.6 端口特性

MySQL 5.6 的端口管理功能相对基础:

  • 默认端口:仅使用 3306 作为默认端口
  • 端口配置:通过 port 参数配置
  • 绑定地址:通过 bind-address 参数配置监听地址
  • SSL 支持:支持 SSL 加密,但配置相对复杂
  • 端口安全:缺乏内置的端口安全机制,主要依赖外部防火墙

MySQL 5.7 端口特性

MySQL 5.7 对端口管理进行了增强:

  • 默认端口:继续使用 3306 作为默认端口
  • 端口配置:通过 port 参数配置,支持动态修改
  • 绑定地址:通过 bind-address 参数配置监听地址,支持多个地址绑定
  • SSL 支持:增强了 SSL 支持,提供了更简单的 SSL 配置选项
  • 端口安全:增强了权限检查,支持 IP 白名单(通过权限表实现)

MySQL 8.0 端口特性

MySQL 8.0 对端口管理进行了全面增强:

  • 默认端口
    • 继续使用 3306 作为默认端口
    • 新增 33060 端口用于 X Protocol
    • 新增 33061 端口用于 Group Replication
  • 端口配置
    • 支持通过 port 参数配置主端口
    • 支持通过 mysqlx_port 参数配置 X Protocol 端口
    • 支持通过 group_replication_local_address 参数配置 Group Replication 端口
  • 绑定地址
    • 支持通过 bind-address 参数配置主端口监听地址
    • 支持通过 mysqlx_bind_address 参数配置 X Protocol 端口监听地址
    • 支持通过 group_replication_bind_address 参数配置 Group Replication 端口监听地址
  • SSL 支持
    • 增强了 SSL 支持,默认启用 SSL(从 MySQL 8.0.11 开始)
    • 提供了更简单的 SSL 配置选项
    • 支持 TLS 1.3
  • 端口安全
    • 增强了防火墙插件(Firewall Plugin),支持细粒度的端口访问控制
    • 支持基于 IP、用户、数据库等多维度的访问控制
    • 支持动态修改端口配置(部分参数)

端口配置与管理

查看当前端口配置

sql
-- 查看主端口配置
SHOW GLOBAL VARIABLES LIKE 'port';

-- 查看绑定地址
SHOW GLOBAL VARIABLES LIKE 'bind_address';

-- MySQL 8.0+ 查看 X Protocol 端口配置
SHOW GLOBAL VARIABLES LIKE 'mysqlx_port';
SHOW GLOBAL VARIABLES LIKE 'mysqlx_bind_address';

-- MySQL 8.0+ 查看 Group Replication 端口配置
SHOW GLOBAL VARIABLES LIKE 'group_replication_local_address';
SHOW GLOBAL VARIABLES LIKE 'group_replication_bind_address';

修改默认端口

临时修改端口(仅当前会话)

sql
-- 注意:MySQL 不支持动态修改端口,临时修改仅对当前会话有效
-- 实际生产环境中,端口修改需要重启 MySQL 服务

永久修改端口(需要重启服务)

sql
-- 修改配置文件 my.cnf
[mysqld]
port = 3307
bind-address = 0.0.0.0

-- MySQL 8.0+ 修改 X Protocol 端口
[mysqlx]
mysqlx_port = 33061
mysqlx_bind_address = 0.0.0.0

重启 MySQL 服务

bash
-- Linux 系统
systemctl restart mysqld
--
service mysql restart

-- Windows 系统
net stop mysql
net start mysql

-- macOS 系统
brew services restart mysql

验证端口配置

bash
-- 使用 netstat 查看端口监听情况
netstat -tuln | grep mysql
--
netstat -tuln | grep 3307

-- 使用 ss 查看端口监听情况
ss -tuln | grep mysql
--
ss -tuln | grep 3307

-- 使用 lsof 查看端口监听情况
lsof -i :3307

-- 使用 telnet 测试端口连通性
telnet 127.0.0.1 3307

-- 使用 mysql 客户端测试连接
mysql -u root -p -h 127.0.0.1 -P 3307

端口安全策略

最小化端口暴露

绑定特定地址

sql
-- 仅监听本地地址
[mysqld]
bind-address = 127.0.0.1

-- 监听特定 IP 地址
[mysqld]
bind-address = 192.168.1.100

-- 监听多个 IP 地址(MySQL 5.7+)
[mysqld]
bind-address = 127.0.0.1,192.168.1.100

禁用不必要的端口

sql
-- 禁用 X Protocol 端口(MySQL 8.0+)
[mysqlx]
mysqlx = 0

-- 或
[mysqld]
disable-mysqlx

防火墙配置

Linux 防火墙配置

bash
-- 使用 iptables 配置防火墙规则
# 允许特定 IP 访问 MySQL 端口
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 3306 -j ACCEPT
# 拒绝其他 IP 访问
iptables -A INPUT -p tcp --dport 3306 -j DROP
# 保存规则
iptables-save > /etc/sysconfig/iptables

-- 使用 firewalld 配置防火墙规则
# 允许特定 IP 段访问
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="3306" accept'
# 重新加载规则
firewall-cmd --reload

Windows 防火墙配置

  1. 打开 "Windows 防火墙高级设置"
  2. 点击 "入站规则" -> "新建规则"
  3. 选择 "端口" -> "TCP" -> "特定本地端口",输入 3306
  4. 选择 "允许连接"
  5. 选择适用的网络类型
  6. 输入规则名称,如 "MySQL 3306 端口"
  7. 点击 "完成"
  8. 在规则属性中,配置 "作用域",仅允许特定 IP 地址访问

使用 SSL 加密端口通信

配置 SSL 加密

sql
-- 生成 SSL 证书(MySQL 5.7+)
mysql_ssl_rsa_setup --datadir=/var/lib/mysql

-- 配置 SSL
[mysqld]
ssl-ca=/var/lib/mysql/ca.pem
ssl-cert=/var/lib/mysql/server-cert.pem
ssl-key=/var/lib/mysql/server-key.pem
require_secure_transport=ON

验证 SSL 配置

sql
-- 查看 SSL 配置
SHOW GLOBAL VARIABLES LIKE '%ssl%';

-- 查看 SSL 状态
SHOW STATUS LIKE 'Ssl_cipher';

-- 测试 SSL 连接
mysql -u root -p -h 192.168.1.100 --ssl-mode=REQUIRED

端口管理最佳实践

生产环境端口配置建议

端口选择

  • 避免使用默认端口:修改默认 3306 端口,减少端口扫描和攻击风险
  • 使用非标准高位端口:选择 1024-65535 之间的非标准端口
  • 端口规划:制定统一的端口规划,避免端口冲突
  • 文档记录:详细记录所有 MySQL 实例的端口配置

端口访问控制

  • 最小化访问范围:仅允许必要的 IP 地址访问 MySQL 端口
  • 使用防火墙:配置严格的防火墙规则
  • 定期审查:定期审查端口访问规则,移除不必要的访问权限
  • 日志记录:记录所有端口访问尝试,便于审计和排查

端口监控

  • 监控端口状态:定期监控 MySQL 端口的运行状态
  • 监控连接数:监控端口的连接数和连接来源
  • 监控异常访问:监控异常的端口访问尝试,如频繁的连接失败
  • 设置告警:当端口出现异常时及时告警

端口安全加固建议

定期更新 MySQL 版本

  • 定期更新 MySQL 版本,修复已知的端口相关漏洞
  • 关注 MySQL 官方发布的安全公告
  • 及时应用安全补丁

启用访问控制

  • 启用 MySQL 的访问控制机制,限制用户的连接来源
  • 使用 skip_name_resolve 参数禁用 DNS 解析,提高连接安全性
  • 配置 max_connect_errors 参数,防止暴力破解

使用中间件

  • 使用 ProxySQL、MaxScale 等中间件管理 MySQL 连接
  • 实现连接池、读写分离、负载均衡等功能
  • 集中管理端口访问控制

端口相关问题排查

端口冲突

错误信息

ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (111)

[ERROR] Do you already have another mysqld server running on port: 3306 ?

排查步骤

  • 检查端口使用情况
    bash
    netstat -tuln | grep 3306
# 或
ss -tuln | grep 3306
  • 检查进程
    bash
    ps -ef | grep mysqld
  • 修改端口配置:修改 MySQL 配置文件,使用其他端口
  • 停止冲突进程:如果是其他进程占用了端口,停止该进程

无法连接到 MySQL 端口

错误信息

ERROR 2003 (HY000): Can't connect to MySQL server on '192.168.1.100' (113)

ERROR 1130 (HY000): Host '192.168.1.200' is not allowed to connect to this MySQL server

排查步骤

  • 检查 MySQL 服务状态
    bash
    systemctl status mysqld
  • 检查端口监听情况
    bash
    netstat -tuln | grep 3306
  • 检查绑定地址:确保 MySQL 绑定到了正确的地址
  • 检查防火墙规则:确保防火墙允许该 IP 访问
  • 检查用户权限:确保用户有从该 IP 连接的权限
    sql
    SELECT user, host FROM mysql.user WHERE user = 'root';

X Protocol 端口无法访问(MySQL 8.0+)

错误信息

ERROR 2003 (HY000): Can't connect to MySQL server on '192.168.1.100' (113) port 33060

排查步骤

  • 检查 X Protocol 是否启用
    sql
    SHOW GLOBAL VARIABLES LIKE 'mysqlx';
  • 检查 X Protocol 端口配置
    sql
    SHOW GLOBAL VARIABLES LIKE 'mysqlx_port';
SHOW GLOBAL VARIABLES LIKE 'mysqlx_bind_address';
  • 检查防火墙规则:确保防火墙允许访问 33060 端口
  • 检查 SSL 配置:如果启用了 SSL,确保客户端支持 SSL

企业级端口管理方案

集中式端口管理

  • 统一端口规划:制定企业级的 MySQL 端口规划,确保端口分配的唯一性和可管理性
  • 配置管理工具:使用 Ansible、Puppet 等配置管理工具管理 MySQL 端口配置
  • 自动化部署:实现 MySQL 实例的自动化部署,包括端口配置

端口监控与告警

  • 监控平台集成:将 MySQL 端口监控集成到企业监控平台,如 Prometheus + Grafana
  • 多维度监控:监控端口状态、连接数、连接来源、连接成功率等指标
  • 智能告警:根据端口使用情况设置智能告警规则,如连接数突增、连接失败率高等

端口安全审计

  • 定期审计:定期审计 MySQL 端口的访问权限和配置
  • 日志分析:分析 MySQL 连接日志,识别异常的端口访问
  • 合规检查:确保端口配置符合企业安全政策和合规要求

总结

端口管理是 MySQL 数据库安全的重要组成部分,合理的端口配置和安全策略可以有效防止未授权访问和恶意攻击。在生产环境中,DBA 应根据 MySQL 版本选择合适的端口管理策略:

  1. MySQL 5.6

    • 重点关注端口的绑定地址和防火墙配置
    • 建议修改默认端口,减少攻击风险
    • 配置 SSL 加密,保护端口通信安全

  2. MySQL 5.7

    • 充分利用增强的绑定地址配置,支持多个地址绑定
    • 启用 SSL 加密,提供更安全的端口通信
    • 配置严格的访问控制,限制用户的连接来源

  3. MySQL 8.0

    • 管理好多个端口(3306、33060、33061)
    • 充分利用增强的 SSL 支持,默认启用 SSL
    • 使用防火墙插件实现细粒度的端口访问控制
    • 合理配置和管理 X Protocol 端口

通过合理的端口配置、严格的访问控制、有效的监控和审计,可以有效保障 MySQL 端口的安全性,防止未授权访问和恶意攻击,保障数据库服务器的稳定运行。DBA 应定期审查和更新端口管理策略,根据业务需求和安全要求调整配置,确保端口管理的有效性和合理性。

参考资料