前言

近年来网络安全形式日趋严峻，为保障企业信息安全和业务连续性，越来越多的要求业务系统上线前需要满足等保要求。其中数据库作为存储数据的载体，安全更是重中之重。部分等保要求，mysql数据库不能通过直连方式连接，需使用SSH加密方式连接，保证数据的安全性。

本章我们介绍如何通过Navicat使用SSH加密方式连接MySQL数据库。

一、MySQL可以通过SSH方式和直接连接方式对比

MySQL可以通过SSH方式和直接连接方式进行连接，两者的主要区别如下：

(1) 安全性：SSH方式连接MySQL服务器是通过SSH协议进行加密通信的，因此更加安全可靠。而直接连接MySQL服务器时，数据传输是明文的，存在被窃取或篡改的风险。

(2) 连接方式：SSH方式连接MySQL服务器需要在中间增加一个SSH隧道，需要先连接到SSH服务器，再通过SSH隧道连接MySQL服务器。而直接连接MySQL服务器则直接连接MySQL服务器。

(3) 端口：SSH方式连接MySQL服务器需要打开SSH服务的端口，通常是22端口。而直接连接MySQL服务器需要打开MySQL服务的端口，通常是3306端口。

(4) 配置：SSH方式连接MySQL服务器需要配置SSH连接信息，包括SSH主机、SSH用户名、SSH密码等。而直接连接MySQL服务器需要配置MySQL连接信息，包括MySQL主机、MySQL用户名、MySQL密码等。

总的来说，通过SSH方式连接MySQL服务器相对于直接连接MySQL服务器更加安全可靠，但是需要在SSH服务器和MySQL服务器上都进行配置。而直接连接MySQL服务器则简单快捷，但是需要注意安全问题。具体连接方式选择取决于应用场景和安全要求。

二、禁止mysql用户连接数据库

mysql数据库默认同时只是直连和SSH加密连接，为满足等保安全要求，需禁用mysql用户直连数据库。

1、查看mysql账户访问权限

#查看mysql账户访问权限
mysql> select user,host from user;
+------------------+-----------+
| user             | host      |
+------------------+-----------+
| root             | %         |
| mysql.infoschema | localhost |
| mysql.session    | localhost |
| mysql.sys        | localhost |
| root             | localhost |
| testdb           | 172.27.1.1 |
| test             | 172.27.% |
+------------------+-----------+
6 rows in set (0.00 sec)

host参数：

%：表示允许任意IP地址访问

localhost：表示仅允许本地访问

172.27.1.1：表示仅允许172.27.1.1这个IP地址访问

172.27.%：表示允许172.27.0.0网段访问

2、限制用户仅能本地连接数据库

设置所有mysql用户host权限均为localhost，既所有mysql用户仅能本地连接数据库

#限制testdb用户仅能本地连接
mysql> update user set host='localhost' where user='testdb';
Query OK, 0 rows affected (0.00 sec)
Rows matched: 1  Changed: 0  Warnings: 0

#刷新策略
mysql> flush privileges; 
Query OK, 0 rows affected (0.00 sec)

#查看mysql账户访问权限
mysql> select user,host from user;
+------------------+-----------+
| user             | host      |
+------------------+-----------+
| root             | localhost |
| mysql.infoschema | localhost |
| mysql.session    | localhost |
| mysql.sys        | localhost |
| root             | localhost |
| testdb           | localhost |
+------------------+-----------+
6 rows in set (0.00 sec)

三、Navicat使用SSH方式连接Mysql

1、打开Navicat软件，并创建一个新的数据库连接。在"连接属性"中，选择"SSH"选项卡，填写mysql数据库所属服务器的SSH连接信息（包括SSH主机、SSH端口、SSH用户名和SSH密码），服务器验证方法可使用密钥，连接更加安全。

2、选择"常规"选项卡，填写MySQL数据库连接信息（包括MySQL端口、MySQL用户名和MySQL密码），MySQL主机处保持默认localhost即可。

点击"测试连接"按钮，确认连接信息无误后保存。

四、连接报错

问题现象：

使用SSH加密方式连接mysql数据库时提示：1045 - Access denied for user 'testdb'@'172.80.9.1' (using password: YES)

问题原因：

MySQL数据库是docker部署，通过SSH加密方式连接的服务器是docker容器宿主机，MySQL用户被限制localhost登录后，宿主机将无法访问MySQL容器。此时需要将MySQL用户连接限制改为仅能宿主机登录。

解决方法：

上面报错地址是MySQL容器网关地址，我们仅需给MySQL用户放行172.80.9.1这个网关地址就行。

例如：

#限制testdb用户仅能本地连接
mysql> update user set host='172.80.9.1' where user='testdb';
Query OK, 0 rows affected (0.00 sec)
Rows matched: 1  Changed: 0  Warnings: 0

#刷新策略
mysql> flush privileges; 
Query OK, 0 rows affected (0.00 sec)

#查看mysql账户访问权限
mysql> select user,host from user;
+------------------+-----------+
| user             | host      |
+------------------+-----------+
| root             | localhost |
| mysql.infoschema | localhost |
| mysql.session    | localhost |
| mysql.sys        | localhost |
| root             | localhost |
| testdb           | 172.80.9.1 |
+------------------+-----------+
6 rows in set (0.00 sec)

再次连接即可解决。