华为云账号购买 弹性云服务器免密登录数据库

引言：当云服务器遇上数据库，密码烦恼何时了？

哎哟，各位运维老铁们，是不是每次登录数据库都得输入一串又长又复杂的密码？记不住？怕记错？更怕被黑客盯上？别急，今天咱们就来聊聊怎么让云服务器和数据库之间"免密通行"，省心又安全！

免密登录的核心原理：钥匙不等于密码？

啥叫免密登录？不是真的不认证，而是用更安全的"钥匙"代替密码。比如SSH密钥对，或者数据库本地认证机制。当你的云服务器和数据库在同一个内网，或者通过可信通道连接，可以用系统用户身份自动识别，无需密码。比如PostgreSQL的peer认证，或者MySQL的unix_socket插件，都是基于系统用户的信任机制。这样既不用记密码，又比明文密码安全得多。

钥匙 vs 密码：谁更靠谱？

密码？那是老黄历了！暴力破解、社工库撞库、键盘记录……分分钟让你哭晕在厕所。而SSH密钥呢？一把私钥在手，天下我有，长度动辄2048位，破解难度堪比让蚂蚁搬动珠穆朗玛峰。再加上密钥可以设置口令，多重保护，妥妥的安全保障。至于数据库的本地认证，更是直接绕过密码环节，系统级信任链，贼拉安全。

实战步骤：手把手教你搭建免密通道

别光听理论，咱们来实操！假设你用的是阿里云ECS和MySQL数据库，下面分步骤来，保证你上手快、出错少！

步骤一：生成专属密钥对（SSH）

ssh-keygen -t rsa -b 4096

一路回车，生成一对密钥。默认保存在~/.ssh/id_rsa和id_rsa.pub。这里注意，如果之前有密钥，会提示覆盖，记得备份！

步骤二：把公钥塞进云服务器的"口袋"

cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

这样，以后用这个密钥就能免密登录ECS了，省去每次输入密码的麻烦。

步骤三：让数据库也认下这把钥匙

接下来配置MySQL的本地免密登录。打开MySQL配置文件（通常在/etc/my.cnf或/etc/mysql/my.cnf），在[mysqld]下添加：

plugin-load=unix_socket.so

然后重启MySQL服务：

systemctl restart mysqld

接着创建系统用户和数据库用户同名，比如系统用户是appuser，那么在MySQL里执行：

CREATE USER 'appuser'@'localhost' IDENTIFIED WITH unix_socket;

这样，当appuser用户登录系统后，直接用mysql -u appuser就能进库，无需密码！

安全加固：别让"免密"变成"免安全"

免密虽爽，但别忘了安全第一！毕竟"免密"≠"免管"。这里几个关键点：

限制访问IP，别让"内网"变"外网"

即使在内网，也要严格控制数据库的访问来源。比如在MySQL配置中，绑定内网IP：

bind-address = 10.0.0.1

华为云账号购买 或者用防火墙规则，只允许特定IP访问3306端口。

华为云账号购买 密钥权限要严格管理

私钥文件权限必须设为600，避免其他用户读取：

chmod 600 ~/.ssh/id_rsa

定期轮换密钥，别用同一个密钥用到天荒地老。

数据库权限最小化

给数据库用户分配必要权限即可，别一股脑给ALL PRIVILEGES。比如：

GRANT SELECT, INSERT ON mydb.* TO 'appuser'@'localhost';

少给权限，少出事。

常见问题排查指南

实操中可能遇到问题，别慌，看看这些情况：

问题一：连不上数据库，提示"Access denied"

检查数据库用户是否设置了unix_socket认证。执行：

SELECT user, plugin FROM mysql.user;

如果plugin不是unix_socket，改回来：

ALTER USER 'appuser'@'localhost' IDENTIFIED WITH unix_socket;

问题二：系统用户和数据库用户不一致

比如系统用户是deploy，但数据库用户是appuser，那就不行。必须同名。或者可以在MySQL中指定映射：

CREATE USER 'deploy'@'localhost' IDENTIFIED WITH unix_socket;

然后让应用以deploy用户运行，就能免密登录了。

问题三：权限不足，无法启动MySQL

修改配置后重启失败？检查文件权限和日志。通常是配置文件权限不对或者插件加载失败。用systemctl status mysqld看具体错误。

结语：自由连接，安全无忧

免密登录不是偷懒，而是智慧选择。用密钥替代密码，用系统信任链替代口令，既省心又安全。记住，安全不是一蹴而就，定期检查、及时更新，才能让免密真正成为你的得力助手。从此，数据库登录再也不是烦恼，而是轻松一连，直接开干！