mysql - 无法远程连接到 EC2 MySQL 安装

Question

我束缚的尽头，数小时的变化......

我正在尝试访问在 EC2 实例上运行的已安装 MySQL。大量搜索(这似乎最接近我的问题 Connect to mysql on Amazon EC2 from a remote server )，我显然遗漏了一些愚蠢或误解的东西。

EC2 Ubuntu，mysqld 运行良好，本地网络/应用程序服务器工作正常所有连接。我可以从本地mysql。我需要使用 iron.io 对这台开发机器进行外部访问，它需要从外部访问数据库。

我有

• ec2 安全组全部配置为允许 0.0.0.0
• 我可以通过 ssh/http 毫无问题地访问服务器
• 配置mysqld
  • 绑定(bind)地址=0.0.0.0(已尝试以下变体)
  • 从 % 授予我的非根用户 (myuser) 的访问权限例如GRANT ALL ON . to myuser@'%' IDENTIFIED BY 'password';刷新权限；
• 确保我的 ubuntu 实例 iptables 没有配置 例如我只使用 ec2 安全组来保护实例)

我试过了

• ssh 进入服务器
• telnet 到 mysqld 端口 3306 上的公共(public) ip 以确保它正在监听 - 请参阅下面的注释
• 删除/etc/mysql/my.cnf中的绑定(bind)地址
• 检查它不是 sock v 端口错误:始终通过端口连接(本地检查，例如 mysql -h - localhost -u root -p --port=3306)
• 绑定(bind)地址0.0.0.0
• 绑定(bind)地址 EC2 本地 ip 例如172.
• 绑定(bind)地址 EC2 外部 ip 例如51.x
• mysql 用户在 % 上授予权限
• mysql 用户授予我个人外部 ip 的权限
• 创建另一个用户，只授予特定数据库的权限将 mydb.* 上的所有权限授予 'myuser2'@'%' IDENTIFIED BY 'password';
• 重复 %，我的个人外部 ip
• 将 root@'%' 添加到列表并尝试该用户(基于此建议:Can't Connect to MySQL instance Remotely that is running on EC2 Instance (Not RDS))

(之后总是重启服务器)

什么都不行，总是测试

$ mysql --host=54.x.x.x --port=3306 --user=myuser -p 输入密码: ERROR 1045 (28000): 拒绝用户 'myuser'@'54.x.x.x' 的访问(使用密码:YES)

不过我注意到了

1. SELECT * from information_schema.user_privileges;将 IS_GRANTABLE 设置为 N: 的 myser 但我不认为这是一个限制因素 ( Why is GRANT not working in MySQL? )

2. netstat -a 显示一个不同的端口和一个正在监听的套接字!？

   下面 netstat 中的监听端口不是 3306 但我已经从外部远程登录到该端口，它显示 mysql 正在监听

任何人都可以建议我错过的任何步骤吗？

db权限的提取，下面的my.cnf

# user_privileges
# e.g. SELECT * from information_schema.user_privileges;
+--------------------------------+---------------+-------------------------+--------------+
| GRANTEE                        | TABLE_CATALOG | PRIVILEGE_TYPE          |  q1 |
+--------------------------------+---------------+-------------------------+--------------+
| 'root'@'localhost'             | def           | SELECT                  | YES          |
...
| 'myuser'@'%'                 | def           | SELECT                  | NO           |
| 'myuser'@'%'                 | def           | INSERT                  | NO           |
| 'myuser'@'%'                 | def           | UPDATE                  | NO           |


# 
]$ netstat -a | grep 'mysql'
tcp        0      0 *:mysql                 *:*                     LISTEN     
unix  2      [ ACC ]     STREAM     LISTENING     61212    /var/run/mysqld/mysqld.sock


$ telnet 54.x.x.x 3306
Trying 54.x.x.x...
Connected to ec2-54-x-x-x.us-west-2.compute.amazonaws.com.
Escape character is '^]'.
[
5.5.44-0ubuntu0.14.04.1+c<>d^+W?1*!e\{wdp&hZmysql_native_password


# my.cnf
[mysqld]
#
# * Basic Settings
#
user            = mysql
pid-file        = /var/run/mysqld/mysqld.pid
socket          = /var/run/mysqld/mysqld.sock
port            = 3306
basedir         = /usr
datadir         = /var/lib/mysql
tmpdir          = /tmp
lc-messages-dir = /usr/share/mysql
#skip-external-locking
#
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address           = localhost
# donts seem to work
bind-address            = 0.0.0.0
# does not work
# ec2 external ip
#bind-address            = 54.x.x.x
# ec2 internal ip
#bind-address            = 172.x.x.x

Answer 1

我找到的最好的工具是 sqlyog(也许还有 mysql workbench)，它实际上会告诉您在连接失败时来自的主机名。

我喜欢它的原因是它保持严密的安全性，显示类似用户“fred123@hdm38.newyork.comcastbusiness.net”的访问被拒绝。请注意，那个主机名，我刚刚编造的，但它很重要，无论你输入什么。否则它是通配符时间，我不会做的。您可能会选择。

这很重要，因为主机名 (hdm38.newyork.comcastbusiness.net) 是我在 mysql create user 期间使用的主机名而不是使用像 %

这样的通配符

我让上面的连接失败，但我注意到上面的主机名是什么。您将在下面看到它。

快速 list

1) 您的远程用户正在通过使用适当的 user,host 创建的帐户进行连接条目(查看 select user,host from mysql.user order by 1,2 的输出)

CREATE USER 'santa'@'hdm38.newyork.comcastbusiness.net' IDENTIFIED BY 'mypassword';

通过上面的命令，我们现在有一个有机会进入的新用户。不能做任何事情。无法更改为数据库。基本上他们可以做类似 select now(); 的事情

2) 你已经执行了grants与 flush privileges (至少前者)

GRANT ALL PRIVILEGES ON mydb123.* TO 'santa'@'hdm38.newyork.comcastbusiness.net';

我们使用上述命令的用户现在可以在 mydb123 数据库/模式中执行任何操作。探索手册中的上述 Grant 命令，以微调您创建的用户对最低限度的访问权限。

如果您不熟悉 mysql 安全性，请不要包括 WITH GRANT OPTION直到你研究它为止。

有些人会说在第 1 步和第 2 步中将上面的主机名设置为“%”。这意味着圣诞老人可以从任何主机连接。这是你的选择。开始时紧绷，一旦到达某个地方并完成研究就放松。

3) 你已经修改了my.cnf并且改变了bind-address远离127.0.0.1或 localhost , 赞成 0.0.0.0

如果绑定(bind)地址不是 0.0.0.0 , 你只是用 ssh 连接

4) 你已经修改了 my.cnf 并且有一个 rem'd out line #skip-networking .即使您必须创建该行只是为了将其删除，也请执行此操作。

3/4 更改需要重启 mysql 守护进程

5) 防火墙问题。所以对于 EC2，您需要 AWS Security Group为实例激活包括3306端口的开放