建站百科 Website News

明明没设置密码，为啥能登录？

那天我正喝着枸杞茶优化数据库，隔壁实习生突然喊起来："哥！为啥我刚装完MySQL，直接敲个mysql就能进数据库啊？黑客分分钟能偷我数据吧？！"

哎你还别说，这事儿我当年也踩过坑。其实这是MySQL的"贴心"默认设置——它觉得你本地操作数据库不用密码更省事（虽然确实方便了咱开发调试），可要是服务器暴露在外网…那就真成了"你家大门常打开"了。

三招锁定问题根源

第一招：查用户表
先登录MySQL敲这个：

SELECT User, Host, plugin FROM mysql.user;

看见那个root用户后面跟着localhost和auth_socket没？这就是罪魁祸首！这插件让系统用户直接免密登录，不信你试试用sudo mysql登录，闭着眼睛都能进。

第二招：翻配置文件
打开/etc/mysql/mysql.conf.d/mysqld.cnf（不同系统位置可能不同），找找有没有这行：

skip-grant-tables

要是看见它，赶紧注释掉！这货能让所有权限验证都失效，比你家不锁门还危险。

第三招：看版本特性
MySQL 8.0开始强化了安全性，但有些老版本自带"空密码保护期"——安装后30天内随便登录，就跟超市临期食品似的，过期前得赶紧设置密码啊！

手把手教你扎紧篱笆

给root上锁

ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY '你的复杂密码';
FLUSH PRIVILEGES;

别用123456这种密码！上次软成科技的运维小哥跟我说，他们客户数据库被黑，80%都是因为弱密码。

清理匿名账户
运行这个查查有没有匿名用户：

SELECT User FROM mysql.user WHERE User='';

要是有，赶紧DROP USER ''@'localhost';送走这些定时炸弹。

改默认端口
把3306端口换成冷门数字，就像把家门钥匙藏在脚垫下不如藏在花盆里，改配置文件加这句：

port=64321

记得防火墙也要同步改哦！

日常防护小妙招

• 定期查岗：每月跑一次mysql_secure_installation，比体检还管用
• 工具辅助：用软成科技出的DBGuard扫描配置漏洞，能自动生成整改报告
• 权限分割：开发环境可以偷懒用空密码，生产环境必须分账号授权，就像家里钥匙不能谁都给

你问我答

Q：设置了密码每次登录都要输好麻烦怎么办？
A：在用户家目录创建.my.cnf文件，写上：

[client]
user=root
password=你的密码

记得设置文件权限为600！这样敲mysql就能自动带密码登录，安全方便两不误。

Q：数据库在内网还要这么严格吗？
A：去年有个客户觉得内网安全，结果被钓鱼邮件控制的跳板机横扫了整个数据库，安全这事就像戴口罩——防的不是自己人，是不知道哪里窜出来的"飞沫"。

Q：改完配置连不上数据库了咋整？
A：先别慌！用mysqld_safe --skip-grant-tables &启动服务进救援模式，记得操作前一定要备份my.cnf，这个操作就跟手机刷机前备份通讯录一个道理。

Q：用云数据库还要折腾这些吗？
A：大厂的云数据库默认安全配置都不错，但自己买的服务器一定要检查，就像租房子，中介说门锁换过了，咱还是得自己再拧两下确认不是？