MySQL服务器开启SSL加密功能

MySQL服务器开启SSL加密功能

我们知道,MySQL5.7之前版本,安全性做的并不够好,比如安装时生成的root空密码账号、存在任何用户都能连接上的test库等,导致数据库存在较大的安全隐患。好在5.7版本对以上问题进行了一一修复。与此同时,MySQL 5.7版本还提供了更为简单SSL安全访问配置,且默认连接就采用SSL的加密方式,这让数据库的安全性提高一个层次。

环境

MySQL服务器开启SSL加密功能

1、SSL介绍

SSL(Secure Socket Layer:安全套接字层)利用数据加密、身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议提供安全性保证。

  • SSL协议提供的功能主要有:
    • 1、数据传输的机密性:利用对称密钥算法对传输的数据进行加密;
    • 2、身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证,其中客户端的身份验证是可选的;
    • 3、消息完整性验证:消息传输过程中使用MAC算法来检验消息的完整性。

如果用户的传输不是通过SSL的方式,那么其在网络中数据都是以明文进行传输的,而这给别有用心的人带来了可乘之机。所以,现在很多大型网站都开启了SSL功能。同样地,在我们数据库方面,如果客户端连接服务器获取数据不是使用SSL连接,那么在传输过程中,数据就有可能被窃取。

2、MySQL5.7 SSL配置和启用

2.1、查看SSL开启情况

root@node1 19:58:  [(none)]> show global variables like '%ssl%';
+---------------+----------+
| Variable_name | Value    |
+---------------+----------+
| have_openssl  | DISABLED |
| have_ssl      | DISABLED |
| ssl_ca        |          |
| ssl_capath    |          |
| ssl_cert      |          |
| ssl_cipher    |          |
| ssl_crl       |          |
| ssl_crlpath   |          |
| ssl_key       |          |
+---------------+----------+
9 rows in set (0.01 sec)
 
root@node1 19:58:  [(none)]> status;
--------------
mysql  Ver 14.14 Distrib 5.7.22, for linux-glibc2.12 (x86_64) using  EditLine wrapper
 
Connection id:      4
Current database:
Current user:       root@localhost
SSL:            Not in use
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server version:     5.7.22-log MySQL Community Server (GPL)
Protocol version:   10
Connection:     Localhost via UNIX socket
Server characterset:    utf8mb4
Db     characterset:    utf8mb4
Client characterset:    utf8
Conn.  characterset:    utf8
UNIX socket:        /data/mysql/mysql3306.sock
Uptime:         6 min 9 sec
 
Threads: 1  Questions: 14  Slow queries: 0  Opens: 109  Flush tables: 1  Open tables: 103  Queries per second avg: 0.037
--------------
 
root@node1 19:59:  [(none)]>

由上可看出:目前MySQL服务没有开启SSL功能;

2.2、安装openssl

yum install openssl -y

2.3、关闭MySQL服务

systemctl stop mysqld

2.4、运行mysql_ssl_rsa_setup 命令,开启SSL连接

安装SSL,开启SSL连接

[root@node1 mysql]# ./bin/mysql_ssl_rsa_setup
Generating a 2048 bit RSA private key
.........................................+++
.............+++
writing new private key to 'ca-key.pem'
-----
Generating a 2048 bit RSA private key
....................................+++
.....................................+++
writing new private key to 'server-key.pem'
-----
Generating a 2048 bit RSA private key
.......................+++
..............................................................................+++
writing new private key to 'client-key.pem'
-----
[root@node1 mysql]#

典型的选项是--datadir指定创建文件的位置,以及--verbose查看mysql_ssl_rsa_setup执行的openssl命令 。

当运行完这个命令后,默认会在$datadir目录下生成以下pem文件,这些文件就是用于启用SSL功能的:

[root@node1 data]# ll *.pem
-rw------- 1 root root 1675 3月   8 18:34 ca-key.pem         # CA私钥
-rw-r--r-- 1 root root 1107 3月   8 18:34 ca.pem             # 自签的CA证书,客户端连接也需要提供
-rw-r--r-- 1 root root 1107 3月   8 18:34 client-cert.pem    # 客户端连接服务器端需要提供的证书文件
-rw------- 1 root root 1675 3月   8 18:34 client-key.pem     # 客户端连接服务器端需要提供的私钥文件
-rw------- 1 root root 1679 3月   8 18:34 private_key.pem    # 私钥/公钥对的私有成员
-rw-r--r-- 1 root root  451 3月   8 18:34 public_key.pem     # 私钥/公钥对的共有成员
-rw-r--r-- 1 root root 1107 3月   8 18:34 server-cert.pem    # 服务器端证书文件
-rw------- 1 root root 1675 3月   8 18:34 server-key.pem     # 服务器端私钥文件
[root@node1 data]# chown mysql:mysql *.pem                   # 到data_dir目录下修改.pem文件的所属权限用户为mysql
[root@node1 data]# ll *.pem
-rw------- 1 mysql mysql 1675 3月   8 18:34 ca-key.pem
-rw-r--r-- 1 mysql mysql 1107 3月   8 18:34 ca.pem
-rw-r--r-- 1 mysql mysql 1107 3月   8 18:34 client-cert.pem
-rw------- 1 mysql mysql 1675 3月   8 18:34 client-key.pem
-rw------- 1 mysql mysql 1679 3月   8 18:34 private_key.pem
-rw-r--r-- 1 mysql mysql  451 3月   8 18:34 public_key.pem
-rw-r--r-- 1 mysql mysql 1107 3月   8 18:34 server-cert.pem
-rw------- 1 mysql mysql 1675 3月   8 18:34 server-key.pem
[root@node1 data]# 

2.5、配置文件启用加密连接

要为服务器启用加密连接,请在my.cnf 文件中使用这些行启动它,根据需要更改文件名:

[mysqld]
ssl-ca=ca.pem
ssl-cert=server-cert.pem
ssl-key=server-key.pem

2.6、启动MySQL服务

systemctl start mysqld

2.7、查看SSL证书的内容

要查看SSL证书的内容(例如,要检查其有效的日期范围),请直接调用 openssl:

openssl x509 -text -in ca.pem
openssl x509 -text -in server-cert.pem
openssl x509 -text -in client-cert.pem

也可以使用以下SQL语句检查SSL证书过期信息:

root@node1 13:36:  [(none)]>  SHOW STATUS LIKE 'Ssl_server_not%';
+-----------------------+--------------------------+
| Variable_name         | Value                    |
+-----------------------+--------------------------+
| Ssl_server_not_after  | Mar  5 12:03:45 2029 GMT |
| Ssl_server_not_before | Mar  8 12:03:45 2019 GMT |
+-----------------------+--------------------------+
2 rows in set (0.01 sec)
 
root@node1 13:36:  [(none)]>

3、创建用户SSL/TLS选项

3.1、常用设置SSL/TLS语句

要为MySQL帐户指定SSL/TLS相关选项,请使用REQUIRE指定一个或多个tls_option值的子句 。

REQUIRE选项顺序无关紧要,但不能指定选项两次。该AND关键字是可选之间REQUIRE选择。

CREATE USER允许这些 tls_option值:

  • NONE
    表示该语句指定的所有帐户都没有SSL或X.509要求。如果用户名和密码有效,则允许未加密的连接。如果客户端具有适当的证书和密钥文件,则可以在客户端选择使用加密连接。
CREATE USER 'username'@'localhost' REQUIRE NONE;

客户端默认尝试建立安全连接。对于具有REQUIRE NONE此功能的客户端,如果无法建立安全连接,则连接尝试将回退到未加密的连接。要求加密连接,客户端只需指定 –ssl-mode=REQUIRED 选项; 如果无法建立安全连接,则连接尝试失败。

NONE如果未REQUIRE指定与SSL相关的选项,则为默认值 。

  • SSL
    告知服务器仅允许该语句命名的所有帐户的加密连接。
CREATE USER 'username'@'localhost' REQUIRE SSL;

客户端默认尝试建立安全连接。对于具有的帐户,REQUIRE SSL如果无法建立安全连接,则连接尝试将失败。

  • X509
    对于语句指定的所有帐户,要求客户端提供有效证书,但确切的证书,颁发者和主题无关紧要。唯一的要求是应该可以使用其中一个CA证书验证其签名。使用X.509证书始终意味着加密,因此SSL在这种情况下不需要该选项。
CREATE USER 'username'@'localhost' REQUIRE X509;

对于帐户REQUIRE X509,客户必须指定连接–ssl-key 和–ssl-cert选项。(建议但不要求 –ssl-ca也要指定,以便可以验证服务器提供的公共证书。)这是正确的ISSUER ,SUBJECT因为这些 REQUIRE选项意味着要求X509。

3.2、创建普通用户user1并强制普通用户必须使用SSL连接数据库

root@node1 20:12:  [(none)]> grant select,insert,update,delete on *.* to 'user1'@'%' identified by 'rootroot';
Query OK, 0 rows affected, 1 warning (0.01 sec)
 
root@node1 20:14:  [(none)]> flush privileges;
Query OK, 0 rows affected (0.01 sec)
 
root@node1 20:22:  [(none)]> alter user 'user1'@'%' require ssl;
Query OK, 0 rows affected (0.00 sec)
 
root@node1 20:14:  [(none)]> exit
Bye
  • mysql命令ssl选项:
    • –ssl-mode=name SSL连接模式:禁用(DISABLED),首选(PREFERRED),需要(REQUIRED),’VERIFY_CA’,’VERIFY_IDENTITY,默认开启;
    • –ssl:已弃用,请改用–ssl-mode。开启ssl(on,1);关闭ssl(off,0);(默认为on;使用–skip-ssl禁用。)。

使用–ssl-mode=VERIFY_CA或 –ssl-mode=VERIFY_IDENTITY,客户端需要加密连接,并对服务器CA证书和(与VERIFY_IDENTITY)证书 中的服务器主机名执行验证。

对于上面强制使用ssl连接的用户,如果不是使用ssl连接的就会报错,像下面这样:

[root@node1 mysql]# mysql -h 192.168.1.101 -uuser1 -p --ssl-mode=DISABLED
WARNING: --ssl is deprecated and will be removed in a future version. Use --ssl-mode instead.
Enter password:
ERROR 1045 (28000): Access denied for user 'user1'@'node1' (using password: YES)
 
[root@node1 mysql]# mysql -h 192.168.1.101 -uuser1 -p         # 默认开启SSL
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 13
Server version: 5.7.22-log MySQL Community Server (GPL)
 
Copyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.
 
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
 
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
 
user1@node1 20:24:  [(none)]> show global variables like '%ssl%';
+---------------+-----------------+
| Variable_name | Value           |
+---------------+-----------------+
| have_openssl  | YES             |
| have_ssl      | YES             |    # 已经开启了SSL
| ssl_ca        | ca.pem          |
| ssl_capath    |                 |
| ssl_cert      | server-cert.pem |
| ssl_cipher    |                 |
| ssl_crl       |                 |
| ssl_crlpath   |                 |
| ssl_key       | server-key.pem  |
+---------------+-----------------+
9 rows in set (0.00 sec)
 
user1@node1 20:19:  [(none)]> status;
--------------
mysql  Ver 14.14 Distrib 5.7.22, for linux-glibc2.12 (x86_64) using  EditLine wrapper
 
Connection id:      6
Current database:
Current user:       user1@node1
SSL:            Cipher in use is DHE-RSA-AES256-SHA   # 表示该用户是采用SSL连接到mysql服务器上的,如果不是ssl,那么会显示“Not in use“
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server version:     5.7.22-log MySQL Community Server (GPL)
Protocol version:   10
Connection:     192.168.1.101 via TCP/IP
Server characterset:    utf8mb4
Db     characterset:    utf8mb4
Client characterset:    utf8
Conn.  characterset:    utf8
TCP port:       3306
Uptime:         11 min 15 sec
 
Threads: 1  Questions: 27  Slow queries: 0  Opens: 118  Flush tables: 1  Open tables: 111  Queries per second avg: 0.040
--------------
 
user1@node1 20:19:  [(none)]>

注意:如果用户是采用本地localhost或者sock连接数据库,那么不会使用SSL方式了。

3.3、要求ssl+秘钥登录

mysql服务端添加秘钥登陆:

root@node1 11:52:  [(none)]> alter user 'java'@'%' require x509;

把客户端证书和私钥:server-cert.pemserver-key.pem或者服务端证书和私钥:client-cert.pemclient-key.pem,从mysql服务端服务器复制到客户端服务器,然后使用ssl+秘钥登录:

[root@NUC-9 ~]# mysql -h 192.168.0.148 -ujava -prootroot --ssl-mode=REQUIRED -e "show databases;"
mysql: [Warning] Using a password on the command line interface can be insecure.
ERROR 1045 (28000): Access denied for user 'java'@'192.168.0.68' (using password: YES)
[root@NUC-9 ~]# mysql -h 192.168.0.148 -ujava -prootroot --ssl-mode=REQUIRED  --ssl-cert=server-cert.pem  --ssl-key=server-key.pem -e "show databases;"
mysql: [Warning] Using a password on the command line interface can be insecure.
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| sys                |
| test               |
+--------------------+
[root@NUC-9 ~]# mysql -h 192.168.0.148 -ujava -prootroot --ssl-mode=REQUIRED --ssl-cert=client-cert.pem  --ssl-key=client-key.pem -e "show databases;"
mysql: [Warning] Using a password on the command line interface can be insecure.
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| sys                |
| test               |
+--------------------+
[root@NUC-9 ~]#

总结

  • 1、MySQL5.7默认是开启SSL连接,如果强制用户使用SSL连接,那么应用程序的配置也需要明确指定SSL相关参数,否则程序会报错。
  • 2、虽然SSL方式使得安全性提高了,但是相对地使得QPS也降低23%左右。所以要谨慎选择:
    • 2.1、对于非常敏感核心的数据,或者QPS本来就不高的核心数据,可以采用SSL方式保障数据安全性;
    • 2.2、对于采用短链接、要求高性能的应用,或者不产生核心敏感数据的应用,性能和可用性才是首要,建议不要采用SSL方式;

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/10607

(0)
凯影的头像凯影
上一篇 2023年12月18日 下午2:35
下一篇 2023年12月20日 下午3:13

相关推荐

  • MySQL性能优化,MySQL索引优化,order by优化,explain优化

    建表 优化一:全部用到索引 介绍 建立的复合索引包含了几个字段,查询的时候最好能全部用到,而且严格按照索引顺序,这样查询效率是最高的。(最理想情况,具体情况具体分析) SQL 案例 优化二:最左前缀法则 介绍 如果建立的是复合索引,索引的顺序要按照建立时的顺序,即从左到右,如:a->b->c(和 B+树的数据结构有关) 无效索引举例 SQL 案例…

    2023年8月28日
    20600
  • Centos7下配置mysql8.0.20

    mysql8.0.20安装完毕后使用默认密码登陆是无法进行操作的,需要修改默认密码才可以。 我们根据提示,使用ALTER USER修改密码,修改完成后,使用flush privileges; 命令刷新。 ALTER USER root@’localhost’ IDENTIFIED BY ‘Zhangsan@123’; 配置远程登录 mysql安装完成后,默认…

    2022年12月7日
    31900
  • 手把手教你在Centos7.6环境下安装Redis(含详细图文)

    1.Linux安装redis 下载: wget http://download.redis.io/releases/redis-2.8.17.tar.gz 解压源码包 tar xzf redis-2.8.17.tar.gz 解压完成后的目录 redis-2.8.17 安装 执行完make命令后,在redis-2.8.17 的 src目录下会出现编译后的 re…

    2022年6月14日
    49100
  • MySQL 用户管理和权限管理

    在项目中,一个数据库有很多人需要使用,不能所有的人都使用相同的权限,如果人比较多,一人一个用户也很难管理。一般来说,会分超级管理员权限,管理员权限,读写权限,只读权限等,这样方便管理。当然,具体怎么管理权限根据实际情况来确定。无论如何,都需要创建多个用户来管理权限。root 是数据库的超级管理员用户,对于普通开发人员来说,权限太大了,如果不小心做了一些不可逆…

    2022年6月9日
    52500
  • Redis 缓存雪崩、缓存穿透、缓存击穿、缓存预热

    缓存雪崩 定义 缓存雪崩是指在短时间内,有大量缓存同时过期,导致大量的请求直接查询数据库,从而对数据库造成了巨大的压力,严重情况下可能会导致数据库宕机的情况叫做缓存雪崩。 正常情况下执行过程: 缓存雪崩下执行过程: 可以看到,当缓存失效时,大量请求直接绕过 Redis 去请求数据库,导致会对数据库造成很大压力。 解决 加锁排队 加锁排队可以起到缓冲的作用,防…

    2022年11月17日
    32200

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信