数据库的默认监听端口号不安全，具体要怎么去自定义修改？

在现代数据驱动的应用架构中，数据库是存储与管理核心数据的中枢，客户端应用程序或服务器服务需要通过网络与数据库进行通信，而监听端口号正是这一通信过程中的关键“门牌号”，正确理解和配置数据库的监听端口号，是保障数据库服务可用性、安全性与网络兼容性的基础操作，本文将系统性地阐述数据库监听端口的概念，并详细介绍几种主流数据库系统的端口配置方法、注意事项及相关问题排查。

理解监听端口与监听器

在深入配置之前，我们首先要明确两个核心概念：监听器和监听端口。

• 监听器：它是一个独立运行的进程或线程，其唯一职责是在指定的网络端口上“监听”并等待来自客户端的连接请求，一旦接收到请求，监听器会将其转交给数据库的核心处理进程,从而建立一条正式的通信链路。
• 监听端口：可以想象为服务器上的一个“窗口”，每个端口都有一个唯一的数字标识（范围0-65535），数据库服务通过绑定到特定端口，使得网络中的其他设备能够准确地找到它，当我们说MySQL的默认端口是3306时,意味着MySQL的监听器默认会在3306这个数字窗口上等待连接。

不同的数据库系统有其约定俗成的默认端口,了解这些默认值有助于快速识别和初步配置。

数据库系统	默认TCP端口	主要配置文件
MySQL	3306	my.cnf 或 my.ini
PostgreSQL	5432	postgresql.conf
Oracle Database	1521	listener.ora
SQL Server	1433	通过SQL Server Configuration Manager配置

主流数据库端口配置详解

更改数据库的监听端口通常涉及修改配置文件、重启服务以及调整防火墙规则,以下将分步介绍几种常见数据库的配置过程。

MySQL 数据库端口配置

MySQL的端口配置相对简单直接。

1. 定位配置文件：在Linux系统中，配置文件通常位于 /etc/my.cnf 或 /etc/mysql/my.cnf；在Windows系统中，则通常是MySQL安装目录下的 my.ini 文件。
2. 修改端口参数：打开配置文件，找到 [mysqld] 段落，在该段落下，找到 port 参数，如果不存在，可以手动添加，将其值修改为您期望的新端口号，3307。

   [mysqld]
   port = 3307

3. 保存并重启服务：保存文件后，需要重启MySQL服务以使更改生效。
   • Linux (Systemd): sudo systemctl restart mysqld
   • Windows: 通过“服务”管理器找到MySQL服务并重启。
4. 验证端口：使用 netstat 或 ss 命令检查MySQL是否已在新端口上监听。

   sudo netstat -tlnp | grep 3307

PostgreSQL 数据库端口配置

PostgreSQL的配置同样通过修改其主配置文件完成。

1. 定位配置文件：配置文件 postgresql.conf 通常位于PostgreSQL数据目录下，/var/lib/pgsql/data/postgresql.conf。

2. 修改端口参数：打开 postgresql.conf 文件，找到 port 参数，默认情况下它可能被注释掉（以 开头），取消注释并修改其值，例如改为 5433。

   

   # CONNECTIONS AND AUTHENTICATION
   # - Settings -
   port = 5433

3. 保存并重启服务：保存文件后,重启PostgreSQL服务。

   • Linux (Systemd): sudo systemctl restart postgresql

4. 验证端口：同样使用 netstat 或 ss 命令进行验证。

   sudo netstat -tlnp | grep 5433

Oracle Database 监听端口配置

Oracle的配置相对复杂,因为它涉及监听器配置和网络服务名配置。

1. 修改监听器配置：找到监听器配置文件 listener.ora，通常位于 $ORACLE_HOME/network/admin/ 目录下，在 SID_DESC 部分修改 GLOBAL_DBNAME 和 ORACLE_HOME，并确保 PORT 参数设置为新端口，如 1522。

   SID_LIST_LISTENER =
     (SID_LIST =
       (SID_DESC =
         (GLOBAL_DBNAME = orcl)
         (ORACLE_HOME = /u01/app/oracle/product/19.0.0/dbhome_1)
         (SID_NAME = orcl)
       )
     )
   LISTENER =
     (DESCRIPTION_LIST =
       (DESCRIPTION =
         (ADDRESS = (PROTOCOL = TCP)(HOST = your_host_name)(PORT = 1522))
         (ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC1522))
       )
     )

2. 重启监听器：使用 lsnrctl 命令重启监听器。

   lsnrctl stop
   lsnrctl start

3. 更新本地网络服务名（可选）：如果需要从服务器本机使用 tnsping 或其他工具连接，还需修改 tnsnames.ora 文件中的端口号，使其与 listener.ora 保持一致。

配置端口后的重要注意事项

仅仅修改数据库配置文件是不够的，还需要完成以下配套操作,否则客户端将无法连接。

• 防火墙配置：这是最容易被忽略但至关重要的一步，服务器的防火墙（如Linux的 firewalld、iptables 或Windows防火墙）必须允许新的端口号通过，在 firewalld 中，需要执行：

  sudo firewall-cmd --permanent --add-port=3307/tcp
  sudo firewall-cmd --reload

• 客户端连接字符串更新：所有连接该数据库的客户端应用程序、BI工具或其他服务，其连接字符串中的端口号必须更新，JDBC URL jdbc:mysql://localhost:3306/mydb 需要改为 jdbc:mysql://localhost:3307/mydb。
• 权限与备份：修改配置文件和管理服务通常需要管理员权限，在进行任何更改前，务必备份原始配置文件,以防配置错误导致服务无法启动。
• 端口选择：选择新端口时，建议使用大于1024的非特权端口，并确保该端口未被系统上其他服务占用,以避免冲突。

---

相关问答 (FAQs)

问题1：为什么要修改数据库的默认监听端口？

解答： 修改默认端口主要有三个原因：

1. 增强安全性：默认端口是攻击者扫描和攻击的首要目标，更换为非标准端口可以增加被自动化工具发现的难度，这是一种被称为“通过隐蔽实现安全”的基础策略。
2. 避免端口冲突：在一台服务器上可能需要运行多个数据库实例（一个MySQL 5.7和一个MySQL 8.0实例），或者数据库端口与其他服务的端口冲突,为不同实例分配不同端口是必须的。
3. 满足网络策略：在某些企业或云环境中，网络管理员可能出于安全或管理目的,规定了特定服务必须使用的端口范围。

问题2：我已经按照步骤修改了端口并重启了数据库，但客户端仍然无法连接，可能是什么原因？

解答： 这是一个常见的排错场景,问题通常出在以下环节：

1. 防火墙未放行：这是最常见的原因，请再次确认服务器操作系统层面的防火墙（以及任何网络设备如安全组的防火墙）已经开放了新的端口。
2. 数据库服务未成功重启或配置文件语法错误：检查数据库服务的状态日志，确认服务已成功启动，有时配置文件中存在语法错误（如多余的空格、错误的参数名）会导致服务启动失败,但它可能仍绑定在旧端口上或根本未启动。
3. 客户端连接字符串未更新：客户端程序可能仍在使用旧的端口号进行连接，请仔细检查并更新所有应用程序、脚本和工具中的连接配置。
4. 监听地址绑定问题：某些数据库（如PostgreSQL）的 listen_addresses 参数可能默认设置为 localhost，这意味着它只接受来自本机的连接，如果需要远程连接，需将其设置为 或具体的服务器IP地址,修改端口时也应一并检查此参数。