MySQL8 中文参考（八）（5）

MySQL8 中文参考（八）（4）https://developer.aliyun.com/article/1565884

6.2.3 连接到服务器的命令选项

原文：dev.mysql.com/doc/refman/8.0/en/connection-options.html

本节描述了大多数 MySQL 客户端程序支持的选项，用于控制客户端程序如何与服务器建立连接，连接是否加密以及连接是否压缩。这些选项可以在命令行或选项文件中指定。

• 连接建立的命令选项
  
• 加密连接的命令选项
  
• 连接压缩的命令选项
  

连接建立的命令选项

本节描述了控制客户端程序如何与服务器建立连接的选项。有关更多信息和示例，请参见第 6.2.4 节，“使用命令选项连接到 MySQL 服务器”。

表 6.4 连接建立选项摘要

• --default-auth=*plugin*

• 提示使用哪个客户端端身份验证插件。参见第 8.2.17 节，“可插拔身份验证”。
• --host=*host_name*, -h *host_name*

• MySQL 服务器运行的主机。该值可以是主机名、IPv4 地址或 IPv6 地址。默认值为localhost。
• --password[=*pass_val*], -p[*pass_val*]

• 用于连接到服务器的 MySQL 帐户的密码。密码值是可选的。如果未提供，则客户端程序会提示输入密码。如果提供了密码，则--password=或-p后面必须没有空格。如果未指定密码选项，则默认情况是不发送密码。
  在命令行上指定密码应被视为不安全。为了避免在命令行上提供密码，请使用选项文件。参见第 8.1.2.1 节，“密码安全的最终用户指南”。
  要明确指定没有密码，且客户端程序不应提示输入密码，请使用--skip-password选项。
• --password1[=*pass_val*]

• 用于连接到服务器的 MySQL 帐户的多因素身份验证因子 1 的密码。密码值是可选的。如果未提供，则客户端程序会提示输入密码。如果提供了密码，则--password1=后面必须没有空格。如果未指定密码选项，则默认情况是不发送密码。
  在命令行上指定密码应被视为不安全。为了避免在命令行上提供密码，请使用选项文件。参见第 8.1.2.1 节，“密码安全的最终用户指南”。
  要明确指定没有密码，且客户端程序不应提示输入密码，请使用--skip-password1选项。
  --password1和--password是同义词，--skip-password1和--skip-password也是同义词。
• --password2[=*pass_val*]

• 用于连接到服务器的 MySQL 帐户的多因素认证因子 2 的密码。此选项的语义类似于--password1的语义；有关详细信息，请参阅该选项的描述。
• --password3[=*pass_val*]

• 用于连接到服务器的 MySQL 帐户的多因素认证因子 3 的密码。此选项的语义类似于--password1的语义；有关详细信息，请参阅该选项的描述。
• --pipe, -W
  在 Windows 上，使用命名管道连接到服务器。此选项仅在服务器启动时启用了named_pipe系统变量以支持命名管道连接时适用。此外，进行连接的用户必须是由named_pipe_full_access_group系统变量指定的 Windows 组的成员。
  
• --plugin-dir=*dir_name*

• 查找插件的目录。如果使用--default-auth选项指定了身份验证插件但客户端程序找不到它，请指定此选项。请参阅第 8.2.17 节，“可插拔认证”。
• --port=*port_num*, -P *port_num*

• 对于 TCP/IP 连接，要使用的端口号。默认端口号为 3306。
• --protocol={TCP|SOCKET|PIPE|MEMORY}

• 此选项明确指定用于连接到服务器的传输协议。当其他连接参数通常导致使用不希望使用的协议时，这很有用。例如，默认情况下，在 Unix 上连接到localhost时会使用 Unix 套接字文件：

mysql --host=localhost

• 要强制使用 TCP/IP 传输，请指定--protocol选项：

mysql --host=localhost --protocol=TCP

• 以下表格显示了允许的--protocol选项值，并指示每个值适用的平台。这些值不区分大小写。

• 另请参阅第 6.2.7 节，“连接传输协议”
• --shared-memory-base-name=*name*

• 在 Windows 上，用于使用共享内存连接到本地服务器的共享内存名称。默认值为MYSQL。共享内存名称区分大小写。
  此选项仅在服务器启动时启用了shared_memory系统变量以支持共享内存连接时才适用。
• --socket=*path*, -S *path*

• 在 Unix 上，用于使用命名管道连接到本地服务器的 Unix 套接字文件的名称。默认的 Unix 套接字文件名为/tmp/mysql.sock。
  在 Windows 上，用于连接到本地服务器的命名管道的名称。默认的 Windows 管道名称为MySQL。管道名称不区分大小写。
  在 Windows 上，只有在服务器启动时启用了named_pipe系统变量以支持命名管道连接时，此选项才适用。此外，进行连接的用户必须是由named_pipe_full_access_group系统变量指定的 Windows 组的成员。
• --user=*user_name*, -u *user_name*

• 用于连接到服务器的 MySQL 帐户的用户名。在 Windows 上，默认用户名为ODBC，在 Unix 上为您的 Unix 登录名。

加密连接的命令选项

本节描述了客户端程序的选项，指定是否使用加密连接到服务器，证书和密钥文件的名称，以及与加密连接支持相关的其他参数。有关建议用法示例以及如何检查连接是否加密，请参阅 8.3.1 节，“配置 MySQL 使用加密连接”。

注意

这些选项仅对使用加密传输协议的连接有效；即 TCP/IP 和 Unix 套接字文件连接。请参阅 6.2.7 节，“连接传输协议”

有关从 MySQL C API 使用加密连接的信息，请参阅 支持加密连接。

表 6.5 连接加密选项摘要

• --get-server-public-key

• 从服务器请求用于 RSA 密钥对密码交换所需的公钥。此选项适用于使用caching_sha2_password认证插件进行身份验证的客户端。对于该插件，除非请求，否则服务器不会发送公钥。对于不使用该插件进行身份验证的帐户，此选项将被忽略。如果不使用基于 RSA 的密码交换（例如客户端使用安全连接连接到服务器时），则也会被忽略。
  如果--server-public-key-path=*file_name*被指定并指定了有效的公钥文件，则优先于--get-server-public-key。
  有关caching_sha2_password插件的信息，请参见第 8.4.1.2 节，“缓存 SHA-2 可插拔认证”。
• --server-public-key-path=*file_name*

• 包含客户端端的用于 RSA 密钥对密码交换所需的服务器端公钥的 PEM 格式文件的路径名。此选项适用于使用sha256_password或caching_sha2_password认证插件进行身份验证的客户端。对于不使用这些插件进行身份验证的帐户，此选项将被忽略。如果不使用基于 RSA 的密码交换（例如客户端使用安全连接连接到服务器时），则也会被忽略。
  如果--server-public-key-path=*file_name*被指定并指定了有效的公钥文件，则优先于--get-server-public-key。
  此选项仅在使用 OpenSSL 构建 MySQL 时可用。
  有关sha256_password和caching_sha2_password插件的信息，请参见第 8.4.1.3 节，“SHA-256 可插拔认证”，以及第 8.4.1.2 节，“缓存 SHA-2 可插拔认证”。
• --ssl-ca=*file_name*

• 包含受信任 SSL 证书颁发机构（CA）证书文件的路径名。该文件包含一组受信任的 SSL 证书颁发机构。
  要告诉客户端在与服务器建立加密连接时不验证服务器证书，请同时指定--ssl-ca和--ssl-capath。服务器仍然根据客户端账户的任何适用要求验证客户端，并且仍然使用服务器端指定的任何ssl_ca或ssl_capath系统变量值。
  要为服务器指定 CA 文件，请设置ssl_ca系统变量。
• --ssl-capath=*dir_name*

• 包含受信任 SSL 证书颁发机构（CA）证书文件的目录路径名，格式为 PEM。
  要告诉客户端在与服务器建立加密连接时不验证服务器证书，请同时指定--ssl-ca和--ssl-capath。服务器仍然根据客户端账户的任何适用要求验证客户端，并且仍然使用服务器端指定的任何ssl_ca或ssl_capath系统变量值。
  要为服务器指定 CA 目录，请设置ssl_capath系统变量。
• --ssl-cert=*file_name*

• 包含客户端 SSL 公钥证书文件的路径名，格式为 PEM。
  要指定服务器 SSL 公钥证书文件，请设置ssl_cert系统变量。
  注意
  链式 SSL 证书支持在 v8.0.30 中添加；之前只读取第一个证书。
• --ssl-cipher=*cipher_list*

• 允许加密连接使用 TLS 协议直至 TLSv1.2 的加密密码列表。如果列表中没有支持的密码，使用这些 TLS 协议的加密连接将无法工作。
  为了最大的可移植性，*cipher_list*应该是一个或多个密码名称的列表，用冒号分隔。例如：

--ssl-cipher=AES128-SHA
--ssl-cipher=DHE-RSA-AES128-GCM-SHA256:AES128-SHA

• OpenSSL 支持在www.openssl.org/docs/manmaster/man1/ciphers.html中描述的指定密码的语法。
  有关 MySQL 支持的加密密码，请参阅第 8.3.2 节，“加密连接 TLS 协议和密码”。
  要为服务器指定加密密码，设置ssl_cipher系统变量。
• --ssl-crl=*file_name*

• 包含以 PEM 格式的证书吊销列表的文件路径名。
  如果既没有提供--ssl-crl也没有提供--ssl-crlpath，则不执行 CRL 检查，即使 CA 路径包含证书吊销列表。
  要为服务器指定吊销列表文件，设置ssl_crl系统变量。
• --ssl-crlpath=*dir_name*

• 包含以 PEM 格式的证书吊销列表文件的目录路径名。
  如果既没有提供--ssl-crl也没有提供--ssl-crlpath，则不执行 CRL 检查，即使 CA 路径包含证书吊销列表。
  要为服务器指定吊销列表目录，设置ssl_crlpath系统变量。
• --ssl-fips-mode={OFF|ON|STRICT}

• 控制是否在客户端端启用 FIPS 模式。--ssl-fips-mode选项与其他--ssl-*xxx*选项不同，它不用于建立加密连接，而是用于影响允许的加密操作。请参阅第 8.8 节，“FIPS 支持”。这些--ssl-fips-mode值是允许的：

• OFF: 禁用 FIPS 模式。
  
• ON: 启用 FIPS 模式。
  
• STRICT: 启用“严格”FIPS 模式。
  

• 注意
  如果 OpenSSL FIPS 对象模块不可用，则--ssl-fips-mode的唯一允许值为OFF。在这种情况下，将--ssl-fips-mode设置为ON或STRICT会导致客户端在启动时产生警告并在非 FIPS 模式下运行。
  要为服务器指定 FIPS 模式，设置ssl_fips_mode系统变量。
  
• --ssl-key=*file_name*

• 客户端 SSL 私钥文件的 PEM 格式路径名。为了更好的安全性，请使用至少 2048 位的 RSA 密钥大小的证书。
  如果密钥文件受密码保护，则客户端程序会提示用户输入密码。密码必须以交互方式给出；不能存储在文件中。如果密码不正确，则程序会继续，就好像无法读取密钥一样。
  要指定服务器 SSL 私钥文件，请设置 ssl_key 系统变量。
• --ssl-mode=*mode*

• 此选项指定与服务器的连接所需的安全状态。这些模式值是允许的，按照严格程度递增的顺序：

• DISABLED: 建立一个未加密的连接。
  
• PREFERRED: 如果服务器支持加密连接，则建立加密连接，如果无法建立加密连接，则回退到未加密连接。如果未指定 --ssl-mode，则默认为此选项。
  通过 Unix 套接字文件进行的连接不会使用 PREFERRED 模式进行加密。要强制对 Unix 套接字文件连接进行加密，请使用 REQUIRED 或更严格的模式。（但是，默认情况下，套接字文件传输是安全的，因此加密套接字文件连接不会增加安全性，反而会增加 CPU 负载。）
  
• REQUIRED: 如果服务器支持加密连接，则建立加密连接。如果无法建立加密连接，则连接尝试失败。
  
• VERIFY_CA: 类似于 REQUIRED，但还会根据配置的 CA 证书验证服务器证书颁发机构（CA）证书。如果找不到有效的匹配 CA 证书，则连接尝试失败。
  
• VERIFY_IDENTITY: 类似于 VERIFY_CA，但还通过检查客户端用于连接到服务器的主机名与服务器发送给客户端的证书中的标识进行主机名身份验证：

• 从 MySQL 8.0.12 开始，如果客户端使用 OpenSSL 1.0.2 或更高版本，则客户端会检查用于连接的主机名是否与服务器证书中的主题备用名称值或通用名称值匹配。主机名身份验证也适用于使用通配符指定通用名称的证书。
  
• 否则，客户端会检查用于连接的主机名是否与服务器证书中的通用名称值匹配。
  

• 如果存在不匹配，连接将失败。对于加密连接，此选项有助于防止中间人攻击。
  注意
  使用VERIFY_IDENTITY进行主机名身份验证无法与由服务器自动创建或使用mysql_ssl_rsa_setup（请参见 8.3.3.1 节，“使用 MySQL 创建 SSL 和 RSA 证书和密钥”会在其他默认设置不变的情况下产生加密连接。然而，为了防止复杂的中间人攻击，客户端验证服务器的身份非常重要。设置--ssl-mode=VERIFY_CA和--ssl-mode=VERIFY_IDENTITY比默认设置更好，以帮助防止这种类型的攻击。要实施这些设置之一，必须首先确保服务器的 CA 证书可靠地提供给所有在您的环境中使用它的客户端，否则将导致可用性问题。因此，它们不是默认设置。
  

• --ssl-mode选项与 CA 证书选项的交互如下：
  

• 如果未显式设置--ssl-mode，则使用--ssl-ca或--ssl-capath意味着--ssl-mode=VERIFY_CA。
  
• 对于VERIFY_CA或VERIFY_IDENTITY的--ssl-mode值，还需要--ssl-ca或--ssl-capath，以提供与服务器使用的 CA 证书匹配的 CA 证书。
  
• 具有值不是VERIFY_CA或VERIFY_IDENTITY的显式--ssl-mode选项，以及显式--ssl-ca或--ssl-capath选项，会产生警告，表明尽管指定了 CA 证书选项，但不会执行对服务器证书的验证。
  

• 要求 MySQL 帐户使用加密连接，请使用 CREATE USER 创建带有 REQUIRE SSL 子句的帐户，或者对现有帐户使用 ALTER USER 添加 REQUIRE SSL 子句。这将导致使用该帐户的客户端的连接尝试被拒绝，除非 MySQL 支持加密连接并且可以建立加密连接。
  REQUIRE 子句允许其他与加密相关的选项，这些选项可用于强制执行比 REQUIRE SSL 更严格的安全要求。有关客户端连接时必须或可以指定的命令选项的详细信息，请参阅 CREATE USER SSL/TLS 选项。
  
• --ssl-session-data=*file_name*

• 客户端 SSL 会话数据文件的 PEM 格式路径名，用于会话重用。
  当您使用 --ssl-session-data 选项调用 MySQL 客户端程序时，如果提供了文件，客户端会尝试从文件中反序列化会话数据，然后使用它来建立新连接。如果您提供了一个文件，但会话未被重用，则连接将失败，除非您在调用客户端程序时在命令行上还指定了 --ssl-session-data-continue-on-failed-reuse 选项。
  mysql 命令 ssl_session_data_print 生成会话数据文件（参见 Section 6.5.1.2, “mysql Client Commands”）。
• ssl-session-data-continue-on-failed-reuse

• 控制是否启动新连接以替换尝试但未能重用使用 --ssl-session-data 命令行选项指定的会话数据的连接。默认情况下，--ssl-session-data-continue-on-failed-reuse 命令行选项关闭，这会导致当提供会话数据但未重用时，客户端程序返回连接失败。
  为了确保在会话重用失败后静默打开新的不相关连接，请使用--ssl-session-data和--ssl-session-data-continue-on-failed-reuse命令行选项调用 MySQL 客户端程序。
• --tls-ciphersuites=*ciphersuite_list*

• 此选项指定客户端允许使用 TLSv1.3 的加密连接的密码套件。该值是一个或多个以冒号分隔的密码套件名称列表。例如：

mysql --tls-ciphersuites="*suite1*:*suite2*:*suite3*"

• 可以为此选项命名的密码套件取决于用于编译 MySQL 的 SSL  库。如果未设置此选项，则客户端允许默认密码套件。如果将选项设置为空字符串，则不启用任何密码套件，无法建立加密连接。有关更多信息，请参见第  8.3.2 节，“加密连接 TLS 协议和密码套件”。
  此选项在 MySQL 8.0.16 中添加。
  要指定服务器允许的密码套件，设置tls_ciphersuites系统变量。
• --tls-version=*protocol_list*

• 此选项指定客户端允许用于加密连接的 TLS 协议。该值是一个或多个逗号分隔的协议版本列表。例如：

mysql --tls-version="TLSv1.2,TLSv1.3"

• 可以为此选项命名的协议取决于用于编译 MySQL 的 SSL 库以及 MySQL Server 的发布版本。重要

• 从 MySQL 8.0.28 开始，MySQL 服务器移除了对 TLSv1 和 TLSv1.1  连接协议的支持。这些协议从 MySQL 8.0.26 开始被弃用，尽管 MySQL 服务器客户端在使用弃用的 TLS  协议版本时不会向用户返回警告。从 MySQL 8.0.28 开始，支持--tls-version选项的客户端，包括 MySQL Shell，不能使用将协议设置为 TLSv1 或 TLSv1.1 的 TLS/SSL 连接。如果客户端尝试使用这些协议进行连接，对于 TCP 连接，连接将失败，并向客户端返回错误。对于套接字连接，如果--ssl-mode设置为REQUIRED，连接将失败，否则连接将建立但 TLS/SSL 被禁用。有关更多信息，请参阅移除对 TLSv1 和 TLSv1.1 协议的支持。
  
• 从  MySQL 8.0.16 开始，MySQL 服务器支持 TLSv1.3 协议，前提是 MySQL 服务器使用了 OpenSSL 1.1.1  或更高版本进行编译。服务器在启动时检查 OpenSSL 的版本，如果低于 1.1.1，则将从与 TLS 版本相关的服务器系统变量的默认值中移除  TLSv1.3（例如tls_version系统变量）。
  

• 允许的协议应该被选择，以避免在列表中留下“漏洞”。例如，这些值没有漏洞：

--tls-version="TLSv1,TLSv1.1,TLSv1.2,TLSv1.3"
--tls-version="TLSv1.1,TLSv1.2,TLSv1.3"
--tls-version="TLSv1.2,TLSv1.3"
--tls-version="TLSv1.3"
From MySQL 8.0.28, only the last two values are suitable.

• 这些值有漏洞，不应该使用：

--tls-version="TLSv1,TLSv1.2"
--tls-version="TLSv1.1,TLSv1.3"

• 有关详细信息，请参阅第 8.3.2 节，“加密连接 TLS 协议和密码”。
  要指定服务器允许的 TLS 协议，设置tls_version系统变量。

连接压缩的命令选项

本节描述了使客户端程序能够控制与服务器连接中压缩使用的选项。有关更多信息和示例，请参阅第 6.2.8 节，“连接压缩控制”。

表 6.6 连接压缩选项摘要

• --compress, -C

• 如果可能的话，压缩客户端和服务器之间发送的所有信息。
  从 MySQL 8.0.18 开始，此选项已被废弃。预计在未来的 MySQL 版本中将会移除。请参阅配置传统连接压缩。
• --compression-algorithms=*value*

• 用于连接到服务器的允许的压缩算法。可用的算法与protocol_compression_algorithms系统变量相同。默认值为uncompressed。
  此选项在 MySQL 8.0.18 中添加。
• --zstd-compression-level=*level*

• 用于使用zstd压缩算法连接到服务器的连接的压缩级别。允许的级别从 1 到 22，较大的值表示较高级别的压缩。默认的zstd压缩级别为 3。压缩级别设置对不使用zstd压缩的连接没有影响。
  此选项在 MySQL 8.0.18 中添加。