2. 程式人生 > >mysql使用ssl連線

mysql使用ssl連線

阿新 發佈:2018-12-24

查詢MySQL狀態

mysql> select version(); 
+-----------+ 
| version() | 
+-----------+ 
| 5.6.36    | 
+-----------+ 

mysql> show variables like 'have%ssl%'; 
+---------------+----------+ 
| Variable_name | Value    | 
+---------------+----------+ 
| have_openssl  | DISABLED | 
| have_ssl      | DISABLED | 
+---------------+----------+ 

mysql> show variables like 'port'; 
+---------------+-------+ 
| Variable_name | Value | 
+---------------+-------+ 
| port          | 3306  | 
+---------------+-------+ 

mysql> show variables like 'datadir'; 
+---------------+-------------------+ 
| Variable_name | Value            | 
+---------------+-------------------+ 
| datadir      | /data/mysql_data/ | 
+---------------+-------------------+

MySQL 5.6使用SSL加密連線實戰

  1. 背景
  • 在生產環境下,安全總是無法忽視的問題,資料庫安全則是重中之重,因為所有的資料都存放在資料庫中
  • 當使用非加密方式連線MySQL資料庫時,在網路中傳輸的所有資訊都是明文的,可以被網路中所有人擷取,敏感資訊可能被洩露。在傳送敏感資訊(如密碼)時,可以採用SSL連線的方式。
  1. MySQL 連線方式
  • socket連線
  • TCP非SSL連線
  • SSL安全連線
  1. SSL 簡介
  • SSL指的是SSL/TLS,其是一種為了在計算機網路進行安全通訊的加密協議。假設使用者的傳輸不是通過SSL的方式,那麼其在網路中以明文的方式進行傳輸,而這給別有用心的人帶來了可乘之機。所以,現在很多網站其實預設已經開啟了SSL功能,比如Facebook、Twtter、YouTube、淘寶等。
  1. 環境 [ 關閉SeLinux ]
  • system 環境
    [[email protected] ~]# cat /etc/RedHat-release
    CentOS release 6.9 (Final)

通過openssl 製作生成 SSL 證書

  1. 生成一個 CA 私鑰
    openssl genrsa 2048 > ca-key.pem

  2. 通過 CA 私鑰生成數字證書
    openssl req -new -x509 -nodes -days 3600

  3. 建立 MySQL 伺服器 私鑰和請求證書
    openssl req -newkey rsa:2048 -days 3600 -nodes -keyout server-key.pem -out server-req.pem

  4. 將生成的私鑰轉換為 RSA 私鑰檔案格式
    openssl rsa -in server-key.pem -out server-key.pem

  5. 用CA 證書來生成一個伺服器端的數字證書
    openssl x509 -req -in server-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

  6. 建立客戶端的 RSA 私鑰和數字證書
    openssl req -newkey rsa:2048 -days 3600 -nodes -keyout client-key.pem -out client-req.pem

  7. 將生成的私鑰轉換為 RSA 私鑰檔案格式
    openssl rsa -in client-key.pem -out client-key.pem

  8. 用CA 證書來生成一個客戶端的數字證書
    openssl x509 -req -in client-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

  9. 檢視所有生成的SSL檔案
    ls -l *.pem

-rw-r--r-- 1 root root 1675 Jun 24 14:16 ca-key.pem 
-rw-r--r-- 1 root root 1220 Jun 24 14:19 ca.pem 
-rw-r--r-- 1 root root 1090 Jun 24 14:29 client-cert.pem 
-rw-r--r-- 1 root root 1679 Jun 24 14:28 client-key.pem 
-rw-r--r-- 1 root root  952 Jun 24 14:28 client-req.pem 
-rw-r--r-- 1 root root 1090 Jun 24 14:24 server-cert.pem 
-rw-r--r-- 1 root root 1679 Jun 24 14:23 server-key.pem 
-rw-r--r-- 1 root root  952 Jun 24 14:20 server-req.pem

MySQL 配置 SSL

  • 複製 CA 證書和服務端SSL檔案至MySQL 資料目錄

  • 即用show variables like 'datadir';查出來目錄所在地方
    cp ca.pem server-*.pem /data/mysql_data -v

  • 修改 MySQL 資料目錄的CA 證書和服務端 SSL 檔案所屬使用者與組
    chown -v mysql.mysql /data/mysql_data/{ca,server*}.pem

  • 配置 MySQL 服務的配置檔案 [/etc/my.cnf],新增以下資訊

    [mysqld] 
    ssl-ca=/data/mysql_data/ca.pem 
    ssl-cert=/data/mysql_data/server-cert.pem 
    ssl-key=/data/mysql_data/server-key.pem

  • 重啟MySQL服務
    /etc/init.d/mysqld restart

  • 登陸檢視SSL開啟狀態
    have_openssl 與 have_ssl 值都為YES表示ssl開啟成功
    show variables like 'have%ssl%';

SSL連線測試

  • 建立使用者並指定 SSL 連線
    grant all on *.* to 'ssl_test'@'%' identified by '123' require SSL;
    Query OK, 0 rows affected (0.00 sec)

    • 通過密碼連線測試
      mysql -h 192.168.60.129 -ussl_test -p'123'

      Warning: Using a password on the command line interface can be insecure.
      ERROR 1045 (28000): Access denied for user ‘ssl_test’@‘192.168.60.129’ (using password: YES)

    • 通過客戶端金鑰與證書SSL + 密碼連線測試
      mysql -h 192.168.60.129 -ussl_test --ssl-cert=client-cert.pem --ssl-key=client-key.pem

MySQL5.7 linux系統配置ssl和ssl方式登入

安裝MySQL5.7

  1. 安裝 MySQL

最新穩定的MySQL版本是5.7,所以這是我們將在本教程中安裝和配置的版本。該包是您需要新增的第一件事,它在MySQL儲存庫中可用。 執行以下命令開始:
yum localinstall -y https://dev.mysql.com/get/mysql57-community-release-el7-9.noarch.rpm

  1. 該命令將新增可以用於安裝資料庫系統的MySQL儲存庫:

yum install -y mysql-community-server

  1. 在安裝過程結束時,使用systemd工具啟動MySQL:

systemctl start mysqld

  1. 檢查MySQL狀態:

mysqld.service - MySQL Server

  1. MySQL可以通過執行netstat工具看到3306埠,

netstat -plntu | grep mysql

MySQL配置SSL

在MySQL伺服器的初始啟動時,將建立一個超級使用者帳戶(‘root’@'localhost),並將預設密碼設定並存儲在錯誤日誌檔案中。 通過執行以下命令顯示此密碼:
grep 'temporary password' /var/log/mysqld.log

[Note] A temporary password is generated for [email protected]: en>_g6syXIXq

  1. 第一步是更改root密碼。

登入到MySQL shell:mysql -u root -p

輸入使用上一個命令顯示的自動生成的密碼。

接下來,使用以下查詢更改密碼:
ALTER USER 'root'@'localhost' IDENTIFIED BY 'RootStrongPassword1!';

重新整理許可權並退出:FLUSH PRIVILEGES;,EXIT;

  1. 為MySQL啟用SSL

預設情況下,MySQL有自己的SSL證書,儲存在/var/lib/mysql中。

注意:在生產中,始終使用更安全和“personal”的證書。

從MySQL shell檢查SSL:SHOW GLOBAL VARIABLES LIKE '%ssl%';

+---------------+-----------------+
| Variable_name | Value           |
+---------------+-----------------+
| have_openssl  | YES             |
| have_ssl      | YES             |
| ssl_ca        | ca.pem          |
| ssl_capath    |                 |
| ssl_cert      | server-cert.pem |
| ssl_cipher    |                 |
| ssl_crl       |                 |
| ssl_crlpath   |                 |
| ssl_key       | server-key.pem  |
+---------------+-----------------+
  1. 檢查SSL狀態
    STATUS;
  ···
  SSL: Not in use
  ···

如您所見,SSL沒有被使用。 所以,下一步是啟用它。

  1. 在MySQL配置檔案中啟用SSL

    編輯MySQL配置檔案:vi /etc/my.cnf

    在[mysqld]部分,貼上以下內容,儲存並重啟systemctl restart mysqld

ssl-ca=/var/lib/mysql/ca.pem
ssl-cert=/var/lib/mysql/server-cert.pem
ssl-key=/var/lib/mysql/server-key.pem
  1. 再次檢查MySQL shell中的SSL狀態。
    STATUS;
···
SSL: Not in use
···
  1. 啟用客戶端

此時尚未使用SSL。 這是因為我們需要通過SSL強制所有的客戶端連線。 所以,退出MySQL shell並再次編輯

在檔案末尾貼上以下內容:

[client]
ssl-ca=/var/lib/mysql/ca.pem
ssl-cert=/var/lib/mysql/client-cert.pem
ssl-key=/var/lib/mysql/client-key.pem

再次儲存,退出並重新啟動MySQL:systemctl restart mysqld

檢查MySQL狀態如上所述:STATUS;

···
SSL:            Cipher in use is DHE-RSA-AES256-SHA
···
  1. 啟用遠端連線

本教程的最後一步是啟用遠端連線。 每個系統管理員都知道,只允許經過驗證的客戶端是至關重要的。

編輯MySQL配置檔案:
vi /etc/my.cnf

在[mysqld]部分的末尾貼上以下行:

bind-address = *
require_secure_transport = ON

儲存,退出並重啟MySQL:systemctl restart mysqld

  1. 為遠端連線建立新使用者

此時,SSL和遠端連線已啟用。 接下來要做的是建立一個新的MySQL使用者:
mysql -u root -p

建立一個新使用者:

mysql> CREATE USER 'gmolica'@'%' IDENTIFIED BY 'Unixmen1!' REQUIRE X509;
mysql> GRANT ALL PRIVILEGES ON . TO 'gmolica'@'%' IDENTIFIED BY 'Unixmen1!' REQUIRE X509;
mysql> FLUSH PRIVILEGES;
mysql> EXIT;

參考1

參考2

客戶端連線

最好使用遠端連線進行測試,localhost或者-S unix socket連線,這種有可能不會用ssl
mysql -uroot -h 192.168.31.84 -p

或者檢視狀態Ssl_cipher也可以,Value不為空,表明客戶端連線啟用ssl
mysql> show status like 'ssl_cipher';                                                                                                                
+---------------+--------------------+
| Variable_name | Value              |
+---------------+--------------------+
| Ssl_cipher    | DHE-RSA-AES256-SHA |
+---------------+--------------------+

如果客戶不想使用ssl連線,可以在mysql連線引數中使用-ssl=0來禁用ssl連線,執行效果請自行使用status檢視
bin/mysql -uroot  -h 192.168.31.84 --ssl=0 -p

建立必須使用ssl登入的使用者

如果伺服器不強制要求使用者使用ssl連線,則使用者可以使用普通方式,也可以使用ssl方式連線伺服器。某些安全場合,可以限制使用者必須ssl登入。

建立ssltest測試使用者,密碼為foodsafe,必須ssl登入
GRANT ALL PRIVILEGES ON *.* TO 'ssltest'@'%' IDENTIFIED BY 'foodsafe' REQUIRE SSL;
FLUSH PRIVILEGES;

測試
[[email protected] mysql01]# bin/mysql -u ssltest -h 192.168.31.84 --ssl=0 -p
Enter password: 
ERROR 1045 (28000): Access denied for user 'ssltest'@'192.168.31.84' (using password: YES)
如果不使用ssl登入,儘管密碼正確,也會提示Access denied。1234567891011

系統使用者表user與ssl

系統許可權表mysql.user中,表現為ssl_type有值,如果不要求則為空。

修改使用者不需要ssl
alter user 'ssltest'@'%' require none;

檢視
select user,ssl_type,ssl_cipher from mysql.user where user='ssltest';
+---------+----------+------------+
| user    | ssl_type | ssl_cipher |
+---------+----------+------------+
| ssltest |          |            |
+---------+----------+------------+

修改使用者需要ssl
 alter user 'ssltest'@'%' require ssl;

檢視
select user,ssl_type,ssl_cipher from mysql.user where user='ssltest';
+---------+----------+------------+
| user    | ssl_type | ssl_cipher |
+---------+----------+------------+
| ssltest | ANY      |            |
+---------+----------+------------+

修改完成記得flush privileges;

相關推薦

CloudStack+XenServer詳細部署方案 交換機配置和服務器連線

cloudstack+xenserver詳細部署方案CloudStack+XenServer詳細部署方案(2):交換機配置和服務器連線 本文將根據設計文檔, 對交換機進行配置和服務器網絡連線方式進行說明.Step1.交換機規劃, 根據功能將交換機端口分為三個部分:管理區域(交換機1 – 16 口): 用於

codevs 1003 電話連線

生成樹 col output ace all pre rim edi 發現 題目描述 Description 一個國家有n個城市。若幹個城市之間有電話線連接,現在要增加m條電話線(電話線當然是雙向的了),使得任意兩個城市之間都直接或間接經過其他城市有電話線連接,你的程序

baidu地圖:實現多點連線渲染

off utf ntc ack -type navig center div tex <script type="text/javascript"> var points = [ {"Lng":120.17787645967861,"Lat":30.25

51Nod - 1107 斜率小於0的連線數量

sort input http -1 n+1 inpu string -m tool 二維平面上N個點之間共有C(n,2)條連線。求這C(n,2)條線中斜率小於0的線的數量。 二維平面上的一個點,根據對應的X Y坐標可以表示為(X,Y)。例如:(2,3) (3,4) (1,

[BZOJ1610][Usaco2008 Feb]Line連線遊戲

說明 排序 clas www style lin data out 連線 1610: [Usaco2008 Feb]Line連線遊戲 Time Limit: 5 Sec Memory Limit: 64 MB Submit: 2282 Solved: 1022 [Su

網線的直連線與交叉線之間的區別

常識 數據 在一起 生活 顏色 開發 金屬 簡單 環境 小續 嵌入式開發的運行環境是目標板,而開發環境是宿主機。因此需要把宿主機中經過編譯之後的可執行文件下載到目標板上去。需要註意的是,這裏所講的下載是下載到目標機中的SDRAM 常見的下載方式有網絡下載(如TF

自定義地圖連線效果,基於echart自定義切換連線中心

var arr 6.5 1.2 8.4 oct hang emp normal 首先引入echart 需要的幾個基礎js文件 創建一個存放地圖的div空間,因為特殊需求 把原來點擊切換中心點變成了下拉框。 圖形的效果大概是這樣的 <!DOCTYPE htm

activiti 配置節點 連線信息獲取

println clas data res dbi 輸出 轉換 個人 ack 1.1.1.?前言 當使用eclipse插件進行流程設計的時候,部署流程之後,我們怎樣獲取我們定義的全部的節點、連線、關口等配置信息呢?有的人看

9、【華為HCIE-Storage】--存儲連線

HCIE storage hostman ------------------------------------重要說明------------------------------------以下部分內容來網絡,部分自華為存儲官方教材具體教材內容請移步華為存儲官網進行教材下載 網絡引用內容

51 Nod 1107 斜率小於0的連線數量 (轉換為歸並求逆序數或者直接樹狀數組,超級詳細題解!!!)

poj pac 分析 二維 load print 序列 type 開始 1107 斜率小於0的連線數量 基準時間限制:1 秒 空間限制:131072 KB 分值: 40 難度:4級算法題 二維平面上N個點之間共有C(n,2)條連線。求這C(n,2)

node.js連線mongoDB資料庫

前面已經講了mongoDB資料庫的安裝和使用,今天來研究一下node.js中如何連線和使用mongoDB資料庫。 方法一:mongoose連線 一、配置mongose 增加mongose類庫 npm install mongoose 二、利用mongoose連線mongoDB

node和資料庫建立連線

var express = require('express') , app = express(); var querystring = require('querystring'); var util = require('util'); var mysql = require('my

HBuilder 連線小米手機

(1)手機與電腦未用USB資料線連線(嘿嘿,這一部大家估計都做到了,可略過) (2)電腦上需要安裝電腦版的手機助手,幫助手機順利連線上(用安卓手機聯調的話可安裝360手機助手,若用iPhone的話可安裝iTools) (3)電腦需要進行配置,當然手機也需要啦,開啟手機   “設定”--

SQL查詢左連線、右連線、內連線

1、左連線的定義:是以左表為基礎,根據ON後給出的兩表的條件將兩表連線起來。結果會將左表所有的查詢資訊列出,而右表只列出ON後條件與左表滿足的部分。左連線全稱為左外連線,是外連線的一種。 下邊以A表和B表為例子,A、B之間的左連線條件為:ano=bno;查詢語句為:SELECT * FROM `

xshell 連線centos7.5

雙擊開啟XShell工具。如下圖: 點選選單欄中最左側的“新建”按鈕,彈出如下對話方塊 。 選擇對話方塊中左側選單欄中“連線”-->“登入指令碼”。在常規模組中輸入名稱 ,這裡的名稱自定義就好。然後選擇協議為“SSH” 繼續填寫主機名為要連線的CentOS作業系統

連線的建立與釋放

連線的建立分為兩端,一個是客戶端,一個是服務端。建立連線一般是有客戶端主動發起的,而關閉連線也是一般由客戶端發起,但是服務端也可以主動關閉長時間沒有通訊的連線以釋放伺服器的資源。詳細的資訊見部落格:圖解TCP連線建立與釋放 如果使用者手動管理連線並且在建立連線以後沒有主動釋放連線,會導

Java資料庫連線池細節探討

我們知道,資料庫連線池可以把資料庫的連線快取起來,下次使用的話可以直接取到快取起來的資料庫連線。那麼,在這個過程中有幾個細節需要注意: 1、資料庫的連線數有沒有限制? 2、資料庫會不會自動斷開已經建立的連線? 3、如果資料庫重啟了,但應用沒有重啟,那麼資料庫連線池中的所有連線都不可用了,

第三方(微信小程式)連線OneNET平臺

前言 一方面是個課設,另一方面專案組有點需求,順便就把提高部分做了。主要用的微信小程式來作為展示介面以及控制介面,以及使用了OneNET平臺連線硬體。 因為硬體部分不是我擅長的,所以這邊就直接燒了例程,稍微改改。所以在本文中硬體平臺就簡寫了。 硬體平臺 說明 先說硬體

(已解決)使用pl/sql的檢視模式來建立sqlserver的dblink提示無法連線到“sa”

使用檢視介面建立很方便也比較簡單,但是預設pl/sql會把你輸入的使用者名稱和密碼轉換為大寫,sqlserver驗證就通不過,這個時候可以用sql語句來建立dblink。 sql建立: create public database link DLINK connect to "sa" &n

連線Mysql提示Can’t connect to local MySQL server through socket各種情況以及解決辦法(轉載)

轉自:http://www.aiezu.com/db/mysql_cant_connect_through_socket.html 產生此問題的原因一般有兩個: 1、mysql服務未正常執行: 由於mysql的socket檔案是由mysqld服務啟動時建立的,如果mysqld服務未正常啟動,soc