這本來是一篇講述怎麼在Linux上完成MySQL的安裝、新建使用者並授權的博文，後來查閱了不少資料，看到一篇有意思的文章，思緒就開始氾濫了。

mysql> FLUSH PRIVILEGES;

也許你看到大多數講解MySQL授權的文章最後都讓你使用上面的命令來重新整理MySQL的許可權，但很多情況下可能都是毫無意義的(文末講這個問題)。不求甚解的求知習慣是危險的，如果對一項技術有追求，應該花時間去了解背後的原理和邏輯。檢視更新請訪問我的 個人部落格網站。

MySQL安裝

$ sudo apt-get update

$ sudo apt-get install mysql-server
 

通過mysql_secure_installation安全向導修改root使用者密碼，設定是否允許root遠端登陸以及決定是否刪除匿名賬號和測試資料庫等。[MySQL開發者文件的傳送門]:

$ sudo mysql_secure_installation

在生產環境中，安全起見，建議設定root使用者不允許遠端登陸，如果只是學習測試用就無所謂了。此外，匿名賬號最好刪掉，不然容易出現奇奇怪怪的問題，如StackOverflow中提到的這個已授權的使用者本地登陸後卻出現MySQL Access Denied，高票答案中對這個問題有很詳細的解答，感興趣的讀者可以開啟看看。後來在MySQL的開發者文件中也看到了關於這個問題的說明:

傳送門。這個問題總結起來就是：匿名賬號由於指定了具體的host(localhost)，比使用萬用字元(%)的賬號擁有了優先權(在user表中排在前面因此先被檢查)，導致實名使用者在本地登陸時實際上是以匿名使用者身份登陸的。host是特定值的賬號之所以在user表中排在前面，是因為這張表遵循了以下排序規則Access Control, Stage 1: Connection Verification:

The server uses sorting rules that order rows with the most-specific Host values first. Literal host names and IP addresses are the most specific. (The specificity of a literal IP address is not affected by whether it has a netmask, so 198.51.100.13 and 198.51.100.0/255.255.255.0 are considered equally specific.) The pattern ‘%’ means “any host” and is least specific. The empty string ” also means “any host” but sorts after ‘%’. Rows with the same Host value are ordered with the most-specific User values first (a blank User value means “any user” and is least specific). For rows with equally-specific Host and User values, the order is nondeterministic.

扯遠了，MySQL安裝完之後一般就啟動了，通過下面的命令檢查MySQL服務的狀態:

$ systemctl status mysql.service
● mysql.service - MySQL Community Server
   Loaded: loaded (/lib/systemd/system/mysql.service; enabled; vendor preset: enabled)
   Active: active (running) since Tue 2018-08-14 10:14:28 CST; 2min 0s ago
  Process: 990 ExecStartPost=/usr/share/mysql/mysql-systemd-start post (code=exited, status=0/SUCCESS)
  Process: 976 ExecStartPre=/usr/share/mysql/mysql-systemd-start pre (code=exited, status=0/SUCCESS)
 Main PID: 989 (mysqld)
   CGroup: /system.slice/mysql.service
           └─989 /usr/sbin/mysqld

若MySQL沒啟動，通過以下命令啟動:

$ sudo systemctl start mysql

建立新使用者並授權

我們直接看看資料庫中的user表的結構:

mysql> describe mysql.user;
+------------------------+-----------------------------------+------+-----+-----------------------+-------+
| Field                  | Type                              | Null | Key | Default               | Extra |
+------------------------+-----------------------------------+------+-----+-----------------------+-------+
| Host                   | char(60)                          | NO   | PRI |                       |       |
| User                   | char(32)                          | NO   | PRI |                       |       |
......[此處省略多行]......
| max_connections        | int(11) unsigned                  | NO   |     | 0                     |       |
| max_user_connections   | int(11) unsigned                  | NO   |     | 0                     |       |
| plugin                 | char(64)                          | NO   |     | mysql_native_password |       |
| authentication_string  | text                              | YES  |     | NULL                  |       |
| password_expired       | enum('N','Y')                     | NO   |     | N                     |       |
| password_last_changed  | timestamp                         | YES  |     | NULL                  |       |
| password_lifetime      | smallint(5) unsigned              | YES  |     | NULL                  |       |
| account_locked         | enum('N','Y')                     | NO   |     | N                     |       |
+------------------------+-----------------------------------+------+-----+-----------------------+-------+

由Host和User是主鍵可知，一個MySQL賬號是由Host和User共同決定的。
參考 MySQL開發者文件：Adding User Accounts，下面是開發者文件中給出的建立使用者並授權的例子，雖然在下面的例子中，授權總是緊跟著建立使用者的命令，你完全可以先建立使用者但暫時不做任何授權。

mysql> CREATE USER 'finley'@'localhost' IDENTIFIED BY 'password';
mysql> GRANT ALL PRIVILEGES ON *.* TO 'finley'@'localhost'
    ->     WITH GRANT OPTION;
mysql> CREATE USER 'finley'@'%' IDENTIFIED BY 'password';
mysql> GRANT ALL PRIVILEGES ON *.* TO 'finley'@'%'
    ->     WITH GRANT OPTION;
mysql> CREATE USER 'admin'@'localhost' IDENTIFIED BY 'password';
mysql> GRANT RELOAD,PROCESS ON *.* TO 'admin'@'localhost';

解釋一下上面例子中的字元含義: localhost表示這個賬號只能在本機登陸，%是萬用字元，表示可以在任意host登陸。由於我們已經知道一個賬號是由User和Host共同決定的，因此上面例子中建立的’finley’@’localhost’和’finley’@’%’其實是兩個不同的賬號。*.*表示任意資料庫的所有許可權，WITH GRANT OPTION表示這個賬號可以將具有的許可權授予其他賬號。可見，上面例子建立的這兩個名為finley的使用者都是超級使用者。官方文件還給出了幾個具體授權的例子:

mysql> CREATE USER 'custom'@'localhost' IDENTIFIED BY 'password';
mysql> GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP
    ->     ON bankaccount.*
    ->     TO 'custom'@'localhost';
mysql> CREATE USER 'custom'@'host47.example.com' IDENTIFIED BY 'password';
mysql> GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP
    ->     ON expenses.*
    ->     TO 'custom'@'host47.example.com';
mysql> CREATE USER 'custom'@'%.example.com' IDENTIFIED BY 'password';
mysql> GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP
    ->     ON customer.*
    ->     TO 'custom'@'%.example.com';

mysql> SHOW GRANTS FOR 'admin'@'localhost';

[注: SHOW GRANTS FOR CURRENT_USER可以檢視當前使用者的許可權]

建立一個名為cheung的MySQL使用者並授權:

mysql> CREATE USER 'cheung'@'%' IDENTIFIED BY 'password-for-cheung';
mysql> GRANT ALL PRIVILEGES ON *.* TO 'cheung'@'%';

命令列可成功登陸:

$ mysql -u cheung -p

嘗試在Windows中通過Navicat遠端連線，報錯2003 - Can't connect to MySQL server on '192.168.118.123' (10038)
如果在Linux上遠端連線會得到如下錯誤提示[192.168.118.123是要連線的資料庫所在的host]:

$ mysql -h 192.168.118.123 -u cheung -p
ERROR 2003 (HY000): Can't connect to MySQL server on '192.168.118.123' (111)

上面的命令實際上無需在另外一臺Linux伺服器上執行，就在MySQL所在的伺服器執行也會得到一樣的錯誤結果。因為使用ip值192.168.118.123作為host已經不是本地連線[經過了路由]。
通過mysql -h 127.0.0.1 -u cheung -p或者mysql -h localhost -u cheung -p則可以成功連線並登陸。
由於'cheung'@'%'，基本可以確定這是MySQL只綁定了本機迴環地址(loopback address)導致的問題。

[email protected]:~$ netstat -anp |grep 3306
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      -

$ cd /etc/mysql
$ grep -rn "127.0.0.1"
mysql.conf.d/mysqld.cnf:43:bind-address     = 127.0.0.1

通過上面的grep命令查詢到了MySQL的監聽設定，bind-address設定為127.0.0.1的話，就只能從本機連線MySQL了，所有遠端連線都不被允許，因此註釋掉這一行:

# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address       = 127.0.0.1

重啟MySQL服務:

$ sudo service mysql restart

再次檢視3306埠:

$ netstat -anp |grep 3306
tcp6       0      0 :::3306                 :::*                    LISTEN      -

這個問題終於解決了，網上所有的教程都是這麼做的。如果你瞭解Linux的迴環地址和socket連線的原理的話，幾乎可以馬上反應過來，我們還可以有別的修改方式！我們可以將bind-address的值更換為本機IP(我這裡具體就是192.168.118.123) [注: 如果機器的ip地址變了，就要再次修改bind-address了，因此這種方法還是有缺陷的。]

#bind-address       = 127.0.0.1
bind-address       = 192.168.118.123

這樣的話，通過mysql -u cheung -p/mysql -h 192.168.118.123 -u cheung -p/mysql -h localhost -u cheung -p都可以成功連線，但使用mysql -h 127.0.0.1 -u cheung -p則會報錯ERROR 2003 (HY000): Can’t connect to MySQL server on ‘127.0.0.1’ (111)

刪除使用者

> DROP USER 'smithj'@'localhost';

或者

> DROP USER IF EXISTS 'smithj'@'localhost';

不要濫用FLUSH PRIVILEGES

FLUSH PRIVILEGES的作用是Reload grant tables
濫用FLUSH PRIVILEGES命令的教程太多，一篇國外的文章對此做了詳細的說明，傳送門: Stop using FLUSH PRIVILEGES
總結一句就是，除非涉及直接更改grant tables(如使用INSERT, UPDATE, or DELETE對這張表進行修改)，其他情況下使用FLUSH PRIVILEGES都是毫無意義的。使用GRANT, REVOKE, SET PASSWORD, or RENAME USER等命令時，MySQL server都會立即監聽到這些變化並重新載入grant tables到記憶體。

mysql> USE mysql;
mysql> UPDATE user SET plugin='mysql_native_password' WHERE User='root';
mysql> FLUSH PRIVILEGES;