mysql使用ssl連線
查詢MySQL狀態
mysql> select version(); +-----------+ | version() | +-----------+ | 5.6.36 | +-----------+ mysql> show variables like 'have%ssl%'; +---------------+----------+ | Variable_name | Value | +---------------+----------+ | have_openssl | DISABLED | | have_ssl | DISABLED | +---------------+----------+ mysql> show variables like 'port'; +---------------+-------+ | Variable_name | Value | +---------------+-------+ | port | 3306 | +---------------+-------+ mysql> show variables like 'datadir'; +---------------+-------------------+ | Variable_name | Value | +---------------+-------------------+ | datadir | /data/mysql_data/ | +---------------+-------------------+
MySQL 5.6使用SSL加密連線實戰
- 背景
- 在生產環境下,安全總是無法忽視的問題,資料庫安全則是重中之重,因為所有的資料都存放在資料庫中
- 當使用非加密方式連線MySQL資料庫時,在網路中傳輸的所有資訊都是明文的,可以被網路中所有人擷取,敏感資訊可能被洩露。在傳送敏感資訊(如密碼)時,可以採用SSL連線的方式。
- MySQL 連線方式
- socket連線
- TCP非SSL連線
- SSL安全連線
- SSL 簡介
- SSL指的是SSL/TLS,其是一種為了在計算機網路進行安全通訊的加密協議。假設使用者的傳輸不是通過SSL的方式,那麼其在網路中以明文的方式進行傳輸,而這給別有用心的人帶來了可乘之機。所以,現在很多網站其實預設已經開啟了SSL功能,比如Facebook、Twtter、YouTube、淘寶等。
- 環境 [ 關閉SeLinux ]
- system 環境
[[email protected] ~]# cat /etc/RedHat-release
CentOS release 6.9 (Final)
通過openssl 製作生成 SSL 證書
-
生成一個 CA 私鑰
openssl genrsa 2048 > ca-key.pem
-
通過 CA 私鑰生成數字證書
openssl req -new -x509 -nodes -days 3600
-
建立 MySQL 伺服器 私鑰和請求證書
openssl req -newkey rsa:2048 -days 3600 -nodes -keyout server-key.pem -out server-req.pem
-
將生成的私鑰轉換為 RSA 私鑰檔案格式
openssl rsa -in server-key.pem -out server-key.pem
-
用CA 證書來生成一個伺服器端的數字證書
openssl x509 -req -in server-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
-
建立客戶端的 RSA 私鑰和數字證書
openssl req -newkey rsa:2048 -days 3600 -nodes -keyout client-key.pem -out client-req.pem
-
將生成的私鑰轉換為 RSA 私鑰檔案格式
openssl rsa -in client-key.pem -out client-key.pem
-
用CA 證書來生成一個客戶端的數字證書
openssl x509 -req -in client-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem
-
檢視所有生成的SSL檔案
ls -l *.pem
-rw-r--r-- 1 root root 1675 Jun 24 14:16 ca-key.pem
-rw-r--r-- 1 root root 1220 Jun 24 14:19 ca.pem
-rw-r--r-- 1 root root 1090 Jun 24 14:29 client-cert.pem
-rw-r--r-- 1 root root 1679 Jun 24 14:28 client-key.pem
-rw-r--r-- 1 root root 952 Jun 24 14:28 client-req.pem
-rw-r--r-- 1 root root 1090 Jun 24 14:24 server-cert.pem
-rw-r--r-- 1 root root 1679 Jun 24 14:23 server-key.pem
-rw-r--r-- 1 root root 952 Jun 24 14:20 server-req.pem
MySQL 配置 SSL
-
複製 CA 證書和服務端SSL檔案至MySQL 資料目錄
-
即用
show variables like 'datadir';
查出來目錄所在地方
cp ca.pem server-*.pem /data/mysql_data -v
-
修改 MySQL 資料目錄的CA 證書和服務端 SSL 檔案所屬使用者與組
chown -v mysql.mysql /data/mysql_data/{ca,server*}.pem
-
配置 MySQL 服務的配置檔案 [/etc/my.cnf],新增以下資訊
[mysqld]
ssl-ca=/data/mysql_data/ca.pem
ssl-cert=/data/mysql_data/server-cert.pem
ssl-key=/data/mysql_data/server-key.pem
-
重啟MySQL服務
/etc/init.d/mysqld restart
-
登陸檢視SSL開啟狀態
have_openssl 與 have_ssl 值都為YES表示ssl開啟成功
show variables like 'have%ssl%';
SSL連線測試
-
建立使用者並指定 SSL 連線
grant all on *.* to 'ssl_test'@'%' identified by '123' require SSL;
Query OK, 0 rows affected (0.00 sec)- 通過密碼連線測試
mysql -h 192.168.60.129 -ussl_test -p'123'
Warning: Using a password on the command line interface can be insecure.
ERROR 1045 (28000): Access denied for user ‘ssl_test’@‘192.168.60.129’ (using password: YES) - 通過客戶端金鑰與證書SSL + 密碼連線測試
mysql -h 192.168.60.129 -ussl_test --ssl-cert=client-cert.pem --ssl-key=client-key.pem
- 通過密碼連線測試
MySQL5.7 linux系統配置ssl和ssl方式登入
安裝MySQL5.7
- 安裝 MySQL
最新穩定的MySQL版本是5.7,所以這是我們將在本教程中安裝和配置的版本。該包是您需要新增的第一件事,它在MySQL儲存庫中可用。 執行以下命令開始:
yum localinstall -y https://dev.mysql.com/get/mysql57-community-release-el7-9.noarch.rpm
- 該命令將新增可以用於安裝資料庫系統的MySQL儲存庫:
yum install -y mysql-community-server
- 在安裝過程結束時,使用systemd工具啟動MySQL:
systemctl start mysqld
- 檢查MySQL狀態:
mysqld.service - MySQL Server
- MySQL可以通過執行netstat工具看到3306埠,
netstat -plntu | grep mysql
MySQL配置SSL
在MySQL伺服器的初始啟動時,將建立一個超級使用者帳戶(‘root’@'localhost),並將預設密碼設定並存儲在錯誤日誌檔案中。 通過執行以下命令顯示此密碼:
grep 'temporary password' /var/log/mysqld.log
[Note] A temporary password is generated for [email protected]: en>_g6syXIXq
- 第一步是更改root密碼。
登入到MySQL shell:mysql -u root -p
輸入使用上一個命令顯示的自動生成的密碼。
接下來,使用以下查詢更改密碼:
ALTER USER 'root'@'localhost' IDENTIFIED BY 'RootStrongPassword1!';
重新整理許可權並退出:FLUSH PRIVILEGES;
,EXIT;
- 為MySQL啟用SSL
預設情況下,MySQL有自己的SSL證書,儲存在/var/lib/mysql
中。
注意:在生產中,始終使用更安全和“personal”的證書。
從MySQL shell檢查SSL:SHOW GLOBAL VARIABLES LIKE '%ssl%';
+---------------+-----------------+
| Variable_name | Value |
+---------------+-----------------+
| have_openssl | YES |
| have_ssl | YES |
| ssl_ca | ca.pem |
| ssl_capath | |
| ssl_cert | server-cert.pem |
| ssl_cipher | |
| ssl_crl | |
| ssl_crlpath | |
| ssl_key | server-key.pem |
+---------------+-----------------+
- 檢查SSL狀態
STATUS;
···
SSL: Not in use
···
如您所見,SSL沒有被使用。 所以,下一步是啟用它。
-
在MySQL配置檔案中啟用SSL
編輯MySQL配置檔案:
vi /etc/my.cnf
在[mysqld]部分,貼上以下內容,儲存並重啟
systemctl restart mysqld
ssl-ca=/var/lib/mysql/ca.pem
ssl-cert=/var/lib/mysql/server-cert.pem
ssl-key=/var/lib/mysql/server-key.pem
- 再次檢查MySQL shell中的SSL狀態。
STATUS;
···
SSL: Not in use
···
- 啟用客戶端
此時尚未使用SSL。 這是因為我們需要通過SSL強制所有的客戶端連線。 所以,退出MySQL shell並再次編輯
在檔案末尾貼上以下內容:
[client]
ssl-ca=/var/lib/mysql/ca.pem
ssl-cert=/var/lib/mysql/client-cert.pem
ssl-key=/var/lib/mysql/client-key.pem
再次儲存,退出並重新啟動MySQL:systemctl restart mysqld
檢查MySQL狀態如上所述:STATUS;
···
SSL: Cipher in use is DHE-RSA-AES256-SHA
···
- 啟用遠端連線
本教程的最後一步是啟用遠端連線。 每個系統管理員都知道,只允許經過驗證的客戶端是至關重要的。
編輯MySQL配置檔案:
vi /etc/my.cnf
在[mysqld]部分的末尾貼上以下行:
bind-address = *
require_secure_transport = ON
儲存,退出並重啟MySQL:systemctl restart mysqld
- 為遠端連線建立新使用者
此時,SSL和遠端連線已啟用。 接下來要做的是建立一個新的MySQL使用者:
mysql -u root -p
建立一個新使用者:
mysql> CREATE USER 'gmolica'@'%' IDENTIFIED BY 'Unixmen1!' REQUIRE X509;
mysql> GRANT ALL PRIVILEGES ON . TO 'gmolica'@'%' IDENTIFIED BY 'Unixmen1!' REQUIRE X509;
mysql> FLUSH PRIVILEGES;
mysql> EXIT;
客戶端連線
最好使用遠端連線進行測試,localhost或者-S unix socket連線,這種有可能不會用ssl
mysql -uroot -h 192.168.31.84 -p
或者檢視狀態Ssl_cipher也可以,Value不為空,表明客戶端連線啟用ssl
mysql> show status like 'ssl_cipher';
+---------------+--------------------+
| Variable_name | Value |
+---------------+--------------------+
| Ssl_cipher | DHE-RSA-AES256-SHA |
+---------------+--------------------+
如果客戶不想使用ssl連線,可以在mysql連線引數中使用-ssl=0來禁用ssl連線,執行效果請自行使用status檢視
bin/mysql -uroot -h 192.168.31.84 --ssl=0 -p
建立必須使用ssl登入的使用者
如果伺服器不強制要求使用者使用ssl連線,則使用者可以使用普通方式,也可以使用ssl方式連線伺服器。某些安全場合,可以限制使用者必須ssl登入。
建立ssltest測試使用者,密碼為foodsafe,必須ssl登入
GRANT ALL PRIVILEGES ON *.* TO 'ssltest'@'%' IDENTIFIED BY 'foodsafe' REQUIRE SSL;
FLUSH PRIVILEGES;
測試
[[email protected] mysql01]# bin/mysql -u ssltest -h 192.168.31.84 --ssl=0 -p
Enter password:
ERROR 1045 (28000): Access denied for user 'ssltest'@'192.168.31.84' (using password: YES)
如果不使用ssl登入,儘管密碼正確,也會提示Access denied。1234567891011
系統使用者表user與ssl
系統許可權表mysql.user中,表現為ssl_type有值,如果不要求則為空。
修改使用者不需要ssl
alter user 'ssltest'@'%' require none;
檢視
select user,ssl_type,ssl_cipher from mysql.user where user='ssltest';
+---------+----------+------------+
| user | ssl_type | ssl_cipher |
+---------+----------+------------+
| ssltest | | |
+---------+----------+------------+
修改使用者需要ssl
alter user 'ssltest'@'%' require ssl;
檢視
select user,ssl_type,ssl_cipher from mysql.user where user='ssltest';
+---------+----------+------------+
| user | ssl_type | ssl_cipher |
+---------+----------+------------+
| ssltest | ANY | |
+---------+----------+------------+
修改完成記得flush privileges;