mysql 8.0起支持账户锁定功能,通过FaiLED_LOGIN_ATTEMPTS和PASSword_LOCK_TIME设置登录失败次数和锁定时间,可创建或ALTER USER修改策略,查询mysql.user表查看锁定状态,管理员可手动LOCK/UNLOCK账户,需注意应用错误处理、合理配置参数并确保validate_password插件启用,以平衡安全与可用性。
MySQL 提供账户锁定功能,用于增强数据库安全。当用户多次登录失败后,可以自动锁定账户,防止暴力破解。从 MySQL 8.0 开始,原生支持账户锁定策略,通过角色和密码管理机制实现。
启用并配置账户锁定策略
MySQL 使用 FAILED_LOGIN_ATTEMPTS 和 PASSWORD_LOCK_TIME 参数来控制账户锁定行为。这些参数可以在创建或修改用户时设置。
例如,限制用户最多 3 次登录失败,锁定 2 天:
CREATE USER ‘app_user’@’localhost’
IDENTIFIED BY ‘secure_password‘
FAILED_LOGIN_ATTEMPTS 3
PASSWORD_LOCK_TIME 2;
已存在的用户可以通过 ALTER USER 修改锁定策略:
ALTER USER ‘app_user’@’localhost’
FAILED_LOGIN_ATTEMPTS 5
PASSWORD_LOCK_TIME 1;
查看账户锁定状态
可以通过查询 mysql.user 表查看用户的锁定配置:
select User, Host, ACCOUNT_LOCKED,
FAILED_LOGIN_ATTEMPTS, PASSWORD_LOCK_TIME
FROM mysql.user
WHERE User = ‘app_user’;
如果账户已被锁定,ACCOUNT_LOCKED 字段值为 ‘Y’。
手动锁定与解锁账户
管理员可手动控制账户状态:
- 锁定账户:
ALTER USER ‘app_user’@’localhost’ ACCOUNT LOCK; - 解锁账户:
ALTER USER ‘app_user’@’localhost’ ACCOUNT UNLOCK;
这在员工离职或怀疑账户泄露时非常有用。
注意事项与建议
使用账户锁定策略时注意以下几点:
- 确保应用程序正确处理被锁定账户的连接错误,避免日志刷屏。
- 合理设置失败尝试次数和锁定时间,避免误锁影响正常业务。
- 结合审计插件或日志监控异常登录行为。
- 该功能依赖 validate_password 插件,需确认已启用。
基本上就这些。合理配置账户锁定能显著提升 MySQL 安全性,但要平衡安全性与可用性。不复杂但容易忽略。