mysql无内置登录次数限制功能,仅8.0+支持failed_login_attempts参数实现账户锁定,但受限于认证方式、root账户及socket登录等场景;需结合日志分析脚本或代理层(如proxysql)实现灵活频控。
MySQL 本身不提供“限制用户登录次数”的内置功能(比如类似 linux 的 faillog 或 PAM 机制),也无法直接配置“连续失败 5 次就锁定账户”。所谓“登录次数限制”,必须通过外部手段间接实现,或依赖 MySQL 8.0+ 的部分安全策略配合操作系统层控制。
MySQL 8.0+ 的 FAILED_LOGIN_ATTEMPTS 和 PASSWORD_LOCK_TIME
这是最接近“限制登录次数”的原生方案,但仅适用于使用本地认证(caching_sha2_password 或 mysql_native_password)且未被代理/中间件绕过的直连场景:
-
CREATE USER 'u1'@'%' IDENTIFIED BY 'pwd' FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME 1;—— 连续 3 次输错密码后,该账户会被锁定 1 天 - 锁定期间所有登录(包括正确密码)都会报错:
Error 3956 (HY000): Account 'u1'@'%' is locked due to many consecutive failed logins. - 仅对密码验证阶段生效;如果用户已连接、只是执行语句失败,不计入
- 该策略不作用于
root账户(即使显式设置也常被忽略),也不影响 socket 登录(localhostvia unix socket 默认跳过密码验证) - 需确保
validate_password插件已启用(否则部分版本会静默忽略这些参数)
MySQL 日志 + 外部脚本实现登录频控
当需要更灵活的控制(如每分钟最多 5 次尝试、IP 级限流、自动解封),只能靠解析 MySQL 的错误日志 + 自动化响应:
- 先开启通用日志或错误日志中的认证失败记录:
log_error_verbosity = 3(确保含access denied for user行) - 用
grep "Access denied" /var/log/mysql/error.log | tail -n 100实时提取失败记录 - 写定时脚本(如 Python/Shell)统计指定 IP 或用户名在窗口时间内的失败次数,超阈值则调用
mysql -e "DROP USER 'u1'@'x.x.x.x';"或写入防火墙规则(iptables -A input -s x.x.x.x -j DROP) - 注意日志轮转问题:脚本需识别
error.log.1.gz等归档文件,否则漏判 - 该方法有延迟(日志刷盘 + 脚本周期),无法实时拦截第 5 次尝试
用代理层(如 ProxySQL、MaxScale)做前置认证限流
真正生产可用的登录频控,几乎都落在数据库代理上,因为它们能实时看到并干预每一次连接握手:
- ProxySQL 支持
mysql-users表中设置max_connections和max_connect_errors,后者可配合mysql_servers的weight动态降权或剔除来源 IP - MaxScale 的
authenticator模块可集成外部脚本,对源 IP 做 redis 计数(INCR login:attempts:x.x.x.x+EXPIRE) - 关键点:MySQL 服务本身要绑定到
127.0.0.1,禁止外网直连;所有流量强制走代理 - 否则攻击者绕过代理直连 MySQL,所有限流逻辑失效
真正的难点不在配置某条命令,而在于确认整个链路是否可控——从客户端发起 TCP 连接,到 MySQL 完成权限校验,中间任何一环(网络设备、代理、容器网络、云厂商安全组)没对齐,所谓“限制登录次数”就只是纸面策略。尤其要注意 socket 登录、skip-grant-tables 启动、以及备份账号长期不用却权限过大的情况,这些才是实际攻防中最常被利用的缺口。