MySQL5.7 开启 SSL 数据加密传输

文章 未结 精帖 1 242
无法显示用户头像
admin 5 钻石
2018-07-11 17:19:15
最近,准备升级一组MySQL到5.7版本,在安装完MySQL5.7后,在其data目录下发现多了很多.pem类型的文件,然后通过查阅相关资料,才知这些文件是MySQL5.7使用SSL加密连接的。本篇主要介绍MySQL5.7 SSL连接加密功能、如何使用?以及使用SSL的一些注意点。 我们知道,MySQL5.7之前版本,安全性做的并不够好,比如安装时生成的root空密码账号、存在任何用户都能连接上的test库等,导致数据库存在较大的安全隐患。好在5.7版本对以上问题进行了一一修复。与此同时,MySQL 5.7版本还提供了更为简单SSL安全访问配置,且默认连接就采用SSL的加密方式,这让数据库的安全性提高一个层次。 一、SSL介绍 SSL(Secure Socket Layer:安全套接字层)利用数据加密、身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议提供安全性保证。 SSL协议提供的功能主要有: [pre] 1、 数据传输的机密性:利用对称密钥算法对传输的数据进行加密。 2.、身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证,其中客户端的身份验证是可选的。 3、 消息完整性验证:消息传输过程中使用MAC算法来检验消息的完整性。 [/pre] 如果用户的传输不是通过SSL的方式,那么其在网络中数据都是以明文进行传输的,而这给别有用心的人带来了可乘之机。所以,现在很多大型网站都开启了SSL功能。同样地,在我们数据库方面,如果客户端连接服务器获取数据不是使用SSL连接,那么在传输过程中,数据就有可能被窃取。 二、MySQL5.7 SSL配置和启用 1、安装时启动SSL  在MySQL5.7安装初始化阶段,我们发现比之前版本多了一步操作,而这个操作就是安装SSL的。 [pre] shell> bin/mysqld --initialize --user=mysql    # MySQL 5.7.6 and up shell> bin/mysql_ssl_rsa_setup                 # MySQL 5.7.6 and up [/pre] 当运行完这个命令后,默认会在data_dir目录下生成以下pem文件,这些文件就是用于启用SSL功能的: [pre] [root mysql_data]# ll *.pem -rw------- 1 mysql mysql 1675 Jun 12 17:22 ca-key.pem         #CA私钥 -rw-r--r-- 1 mysql mysql 1074 Jun 12 17:22 ca.pem             #自签的CA证书,客户端连接也需要提供 -rw-r--r-- 1 mysql mysql 1078 Jun 12 17:22 client-cert.pem    #客户端连接服务器端需要提供的证书文件 -rw------- 1 mysql mysql 1675 Jun 12 17:22 client-key.pem     #客户端连接服务器端需要提供的私钥文件 -rw------- 1 mysql mysql 1675 Jun 12 17:22 private_key.pem    #私钥/公钥对的私有成员 -rw-r--r-- 1 mysql mysql 451 Jun 12 17:22  public_key.pem     #私钥/公钥对的共有成员 -rw-r--r-- 1 mysql mysql 1078 Jun 12 17:22 server-cert.pem    #服务器端证书文件 -rw------- 1 mysql mysql 1675 Jun 12 17:22 server-key.pem     #服务器端私钥文件 [/pre] 这时从数据库服务器本地进入MySQL命令行,你可以看到如下变量值: [pre] root> mysql -h 10.126.xxx.xxx -udba -p ###查看SSL开启情况 dba:(none)> show global variables like '%ssl%'; +---------------+-----------------+ | Variable_name | Value           | +---------------+-----------------+ | have_openssl  | YES             | | have_ssl      | YES             |    #已经开启了SSL | ssl_ca        | ca.pem          | | ssl_capath    |                 | | ssl_cert      | server-cert.pem | | ssl_cipher    |                 | | ssl_crl       |                 | | ssl_crlpath   |                 | | ssl_key       | server-key.pem  | +---------------+-----------------+ [/pre] 2、如果安装MySQL57时没有运行过mysql_ssl_rsa_setup,那么如何开启SSL呢? 1)、关闭MySQL服务 2)、运行mysql_ssl_rsa_setup 命令 3)、到data_dir目录下修改.pem文件的所属权限用户为mysql [pre] $ chown -R mysql.mysql *.pem [/pre] 4)、启动MySQL服务 3、强制某用户必须使用SSL连接数据库 [pre] #修改已存在用户  ALTER USER 'dba'@'%' REQUIRE SSL; [/pre] #新建必须使用SSL用户 [pre] grant select on *.* to 'dba'@'%' identified by 'xxx' REQUIRE SSL; [/pre] 对于上面强制使用ssl连接的用户,如果不是使用ssl连接的就会报错,像下面这样: [pre] [root]# /usr/local/mysql/bin/mysql -udba -p -h10.126.xxx.xxx --ssl=0 Enter password:  ERROR 1045 (28000): Access denied for user 'dba'@'10.126.xxx.xxx' (using password: YES) [/pre] 三、总结 1、MySQL5.7默认是开启SSL连接,如果强制用户使用SSL连接,那么应用程序的配置也需要明确指定SSL相关参数,否则程序会报错。 2、虽然SSL方式使得安全性提高了,但是相对地使得QPS也降低23%左右。所以要谨慎选择: 2.1、对于非常敏感核心的数据,或者QPS本来就不高的核心数据,可以采用SSL方式保障数据安全性; 2.2、对于采用短链接、要求高性能的应用,或者不产生核心敏感数据的应用,性能和可用性才是首要,建议不要采用SSL方式;

上一篇: Struts2 与 $.ajax 配合跨域请求

下一篇: Linux 命令查看用户上次修改密码的具体日期

声明:本文所有观点仅代表创作者本人,ECode1024系信息收集发布平台,ECode1024仅提供信息存储以及展示服务。若有侵权,请联系我们删除。
回复
  • 作者头像
    2018-07-11 23:19:10
    SSL加密是三级等保中的要求之一。