如何确保MySQL数据库仅由可信IP访问，并安全部署非可信环境？

1、登录数据库

在设置可信IP之前，需要使用具有管理员权限的账户登录MySQL数据库，这通常通过命令行客户端完成，使用mysql u root p命令进行登录。

2、查看当前可信IP设置

登录后，可以通过执行SELECT Host, User FROM mysql.user WHERE Host NOT IN ('localhost', 'localhost.localdomain', '127.0.0.1') AND authentication_string !='';命令来查看当前的可信IP配置。

3、创建新用户

如果需要为新用户设置可信IP，可以使用CREATE USER 'newuser'@'%' IDENTIFIED BY 'password';命令创建新用户，并为其设置密码。

4、修改可信IP

修改现有用户的可信IP，或为新用户设置可信IP，可通过GRANT ALL PRIVILEGES ON *.* TO 'username'@'specified_IP' IDENTIFIED BY 'password';命令实现，其中specified_IP是你想设置的可信IP地址。

5、配置文件修改

MySQL配置文件中的[mysqld]部分可以添加或修改，以设置可信IP访问控制规则，允许特定IP访问的配置代码应添加到此部分中。

6、限制特定网段访问

除了设置单一IP，也可以通过修改配置文件或使用授权命令限制整个网段的访问，例如设置192.168.199.0/24允许该网段内的所有IP访问数据库。

7、更新安全性设置

每次修改可信IP设置后，必须重启MySQL服务或使用FLUSH PRIVILEGES;命令，使更改立即生效而不需要在每次更改后重启服务。

相关操作及维护

监控与审计：定期检查和审计所有数据库用户的访问日志和连接来源，确保只有授权的可信IP能够访问数据库。

备份与恢复：在进行重要的可信IP设置更改前，应该备份当前的用户权限和配置，以便在需要时可以快速恢复到之前的状态。

FAQs

Q1: 如何撤销一个用户的可信IP访问权限？

答：撤销用户的可信IP访问权限，可以使用REVOKE ALL PRIVILEGES ON *.* FROM 'username'@'specified_IP';命令，其中username和specified_IP分别为要撤销权限的用户名和其可信IP。

Q2: 修改可信IP设置后需要重启数据库服务吗？

答：不需要，可以通过执行FLUSH PRIVILEGES;命令来立即应用更改，无需重启数据库服务。