如何在Linux系统上安装mysql_mysql部署实战指南

linux安装mysql需先查系统版本（cat /etc/os-release），ubuntu用apt装mysql-server，centos8+需先装官方repo并启用mysql:8.0模块；安装后须改root密码为mysql_native_password认证，再配bind-address和防火墙开放3306端口，应用用户授权应遵循最小权限与精确host原则。

确认系统版本和包管理器类型

Linux 发行版不同，安装方式差异很大。Ubuntu/debian 用 apt，CentOS/RHEL 8+ 默认用 dnf，RHEL 7/CentOS 7 用 yum。直接运行 cat /etc/os-release 查看 ID 和 VERSION_ID，比猜更可靠。

常见误操作：在 CentOS 8 上照搬 CentOS 7 的 yum install mysql-server 命令，结果报错“no package found”——因为 MySQL 已被 mariadb 替代，且官方 MySQL repo 需手动添加。

• Ubuntu 22.04+：默认源里有 mysql-server，但版本是 8.0.x，可直接 sudo apt update && sudo apt install mysql-server
• CentOS 8+：需先下载并安装 MySQL 官方 repo：sudo dnf install https://dev.mysql.com/get/mysql80-community-release-el8-5.noarch.rpm，再启用 8.0 模块：sudo dnf module enable mysql:8.0，最后 sudo dnf install mysql-community-server
• 不要用 mysql（客户端工具）代替 mysql-community-server（服务端），后者才是真正启动 mysqld 进程的包

初始化后必须立刻修改 root 密码

MySQL 8.0+ 默认启用 auth_socket 插件认证，root 用户本地登录无需密码，但无法远程、无法用密码登录，也不兼容多数应用连接配置。不改密码，后续连 mysql -u root -p 都会失败。

正确做法是先以系统用户（如 ubuntu 或 root）免密登录，再在 MySQL 内重置：

sudo mysql mysql> ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'YourStrongPass123!'; mysql> FLUSH PRIVILEGES;

• 必须指定 WITH mysql_native_password，否则仍走 socket 认证
• 密码强度要求高：至少 8 位，含大小写字母、数字、特殊字符；太弱会报错 Error 1819 (HY000): Your password does not satisfy the current policy requirements
• 改完立即测试：mysql -u root -p，输入新密码，能进就说明生效

开放远程访问前检查 bind-address 和防火墙

MySQL 默认只监听 127.0.0.1，即使创建了远程用户，外网也连不上。错误日志里常出现 Can't connect to MySQL server on 'x.x.x.x'，八成是这个原因。

编辑配置文件 /etc/mysql/mysql.conf.d/mysqld.cnf（Ubuntu）或 /etc/my.cnf（RHEL），找到 bind-address 行：

• 设为 0.0.0.0 表示监听所有 IPv4 接口（生产环境慎用）
• 设为具体内网 IP（如 192.168.1.100）更安全，适合私有网络部署
• 注释掉整行（加 #）在某些旧版本中等效于 0.0.0.0，但新版建议显式写明
• 改完必须重启服务：sudo systemctl restart mysql（Ubuntu）或 sudo systemctl restart mysqld（RHEL）
• 别忘了开防火墙端口：sudo ufw allow 3306（Ubuntu）或 sudo firewall-cmd --permanent --add-port=3306/tcp && sudo firewall-cmd --reload（RHEL）

创建应用用户时务必指定 host 而非用 % 通配

执行 CREATE USER 'appuser'@'%' IDENTIFIED BY 'pass'; 看似方便，实则埋下隐患：MySQL 会优先匹配更具体的 host，比如已有 'appuser'@'192.168.1.%'，再建 'appuser'@'%' 可能导致权限混乱或连接被拒绝。

更稳妥的做法是按实际来源精确授权：

• 应用和 DB 同机：用 'appuser'@'localhost'
• 应用在固定内网段：用 'appuser'@'192.168.1.%' 或 'appuser'@'10.0.2.5'
• 临时调试才用 'appuser'@'%'，且后续应删掉
• 授权后必须 FLUSH PRIVILEGES;，否则权限不生效
• 避免给应用用户 GRANT ALL PRIVILEGES，最小权限原则：通常只需 select, INSERT, UPDATE, delete 和对应数据库名

权限模型比想象中敏感，host 字符串匹配规则（如 % 不匹配 localhost）、大小写、空格都会影响最终行为，线上环境建议用具体 IP 或域名而非模糊通配。