MySQL 8.0 默认禁止远程连接,必须同时满足用户 host 允许通配、密码认证插件兼容、防火墙放行、云服务商安全组开放四个条件,缺一不可。
直接说结论:MySQL 8.0 默认禁止远程连接,必须同时满足 用户 host 允许通配、密码认证插件兼容、防火墙放行、云服务商安全组开放 四个条件,缺一不可。
MySQL 8.0 的 user 表里,host 字段决定该用户能否从哪台机器登录。默认 'root'@'localhost' 只能本机连。
登录后执行:
USE mysql;<br>SELECT user, host FROM user WHERE user = 'root';
如果 host 是 localhost,远程会报错 ERROR 1045 (28000): Access denied for user 'root'@'xxx.xxx.xxx.xxx'。
UPDATE user SET host = '%' WHERE user = 'root'; 后必须 FLUSH PRIVILEGES;,但存在安全隐患CREATE USER 'remote_user'@'%' IDENTIFIED BY 'StrongPass123!';
GRANT ... IDENTIFIED BY 一步创建,必须分 CREATE USER 和 GRANT 两步MySQL 8.0 默认用 caching_sha2_password 插件,而 Navicat、旧版 JDBC 驱动、部分 PHP 扩展(如 mysqli)不支持,连接时会报 Authentication plugin 'caching_sha2_password' cannot be loaded。
执行:
ALTER USER 'remote_user'@'%' IDENTIFIED WITH mysql_native_password BY 'StrongPass123!';
验证是否生效:
SELECT user, host, plugin FROM user WHERE user = 'remote_user';
返回的 plugin 必须是 mysql_native_password,否则仍连不上。
ALTER USER ... BY),必须显式指定 IDENTIFIED WITH
ERROR 1820 (HY000),说明密码过期或策略不满足,先运行 SET GLOBAL validate_password.policy = LOW; 临时放宽(仅调试用)CentOS 7 默认启用 firewalld,即使 MySQL 服务正常、用户配置正确,端口没开也连不上。
执行:
firewall-cmd --list-ports<br>firewall-cmd --zone=public --add-port=3306/tcp --permanent<br>firewall-cmd --reload
但注意:
firewall-cmd --list-ports 返回为空 ≠ 端口关闭,可能只是没加规则;必须用 --add-port 显式添加firewalld 开了也不够——必须去控制台「安全组」里手动放行 TCP 3306 端口,否则流量根本进不到系统iptables(非 firewalld),命令是:iptables -I INPUT -p tcp --dport 3306 -j ACCEPT && service iptables save
MySQL 默认监听 127.0.0.1,意味着只响应本机请求。即使用户、插件、防火墙全对,远程仍连不上。
编辑 /etc/my.cnf,在 [mysqld] 段下检查或添加:
bind-address = 0.0.0.0
然后重启服务:
systemctl restart mysqld
验证监听状态:
netstat -tlnp | grep :3306
输出中应含 *:3306(不是 127.0.0.1:3306),才表示监听所有网卡。
/etc/my.cnf 里没有 bind-address,MySQL 8.0 默认行为是绑定 127.0.0.1,这点和 5.7 不同mysqld,FLUSH PRIVILEGES 对这个无效getenforce 返回 Enforcing),需额外执行 setsebool -P mysqld_connect_any 1,否则可能拦截网络连接真正卡住人的地方,往往不是某一步做错了,而是四件事只做了三件——比如开了防火墙端口却忘了改 bind-address,或者改了用户 host 却没换认证插件。每一步都要单独验证,别跳着走。