MySQL 5.7--------SSL连接最佳实战

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,高可用系列 2核4GB
简介:

1. 背景

   * 在生产环境下,安全总是无法忽视的问题,数据库安全则是重中之重,因为所有的数据都存放在数据库中

   * 当使用非加密方式连接MySQL数据库时,在网络中传输的所有信息都是明文的,可以被网络中所有人截取,敏感信息可能被泄露。在传送敏感信息(如密码)时,可以采用SSL连接的方式。

     *  版本小于5.7.6时按照 MySQL 5.6 SSL配置的方式进行。


2. MySQL 连接方式

   * socket连接

   * TCP非SSL连接

   * SSL安全连接

        * SSL + 密码连接 [version > MySQL 5.7.5]

    * SSL + 密码 + 密钥连接


3. SSL 简介

  * SSL指的是SSL/TLS,其是一种为了在计算机网络进行安全通信的加密协议。假设用户的传输不是通过SSL的方式,那么其在网络中以明文的方式进行传输,而这给别有用心的人带来了可乘之机。所以,现在很多网站其实默认已经开启了SSL功能,比如Facebook、Twtter、YouTube、淘宝等。

wKiom1lRImDQaiP7AAByLO28Dk8429.jpg


4. 环境 [ 关闭SeLinux ]

   * system 环境

1
2
3
4
5
6
7
8
[root@MySQL ~] # cat /etc/redhat-release 
CentOS release 6.9 (Final)
[root@MySQL ~] # uname -r
 
2.6.32-696.3.2.el6.x86_64
 
[root@MySQL ~] # getenforce 
Disabled

   * MySQL 环境 [ MySQL 5.7安装前面篇章已做详细介绍 ]

         have_openssl 与 have_ssl 值都为DISABLED表示ssl未开启

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
[root@MySQL ~] # mysql -p'123'
mysql: [Warning] Using a password on the  command  line interface can be insecure.
 
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection  id  is 6
Server version: 5.7.18 MySQL Community Server (GPL)
 
Copyright (c) 2000, 2017, Oracle and /or  its affiliates. All rights reserved.
 
Oracle is a registered trademark of Oracle Corporation and /or  its
affiliates. Other names may be trademarks of their respective
owners.
 
Type  'help;'  or  '\h'  for  help. Type  '\c'  to  clear  the current input statement.
 
mysql>  select  version();
+-----------+
| version() |
+-----------+
| 5.7.18    |
+-----------+
1 row  in  set  (0.00 sec)
 
mysql> show variables like  'have%ssl%' ;
+---------------+----------+
| Variable_name | Value    |
+---------------+----------+
| have_openssl  | DISABLED |
| have_ssl      | DISABLED |
+---------------+----------+
2 rows  in  set  (0.02 sec)
 
mysql> show variables like  'port' ;
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| port          | 3306  |
+---------------+-------+
1 row  in  set  (0.01 sec)
 
mysql> show variables like  'datadir' ;
+---------------+-------------------+
| Variable_name | Value             |
+---------------+-------------------+
| datadir       |  /data/mysql_data/  |
+---------------+-------------------+
1 row  in  set  (0.01 sec)


5. SSL配置

   *  利用自带工具生成SSL相关文件 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[root@MySQL ~] # /usr/local/mysql/bin/mysql_ssl_rsa_setup --datadir=/data/mysql_data
Generating a 2048 bit RSA private key
..........................................................................+++
.....+++
writing new private key to  'ca-key.pem'
-----
Generating a 2048 bit RSA private key
.......................................................................................................................................................................+++
...+++
writing new private key to  'server-key.pem'
-----
Generating a 2048 bit RSA private key
.....................+++
...........................................+++
writing new private key to  'client-key.pem'
-----


   * 查看生成的SSL文件

1
2
3
4
5
6
7
8
9
[root@MySQL ~] # ls -l /data/mysql_data/*.pem
-rw------- 1 root root 1679 Jun 24 20:54  /data/mysql_data/ca-key .pem
-rw-r--r-- 1 root root 1074 Jun 24 20:54  /data/mysql_data/ca .pem
-rw-r--r-- 1 root root 1078 Jun 24 20:54  /data/mysql_data/client-cert .pem
-rw------- 1 root root 1675 Jun 24 20:54  /data/mysql_data/client-key .pem
-rw------- 1 root root 1675 Jun 24 20:54  /data/mysql_data/private_key .pem
-rw-r--r-- 1 root root  451 Jun 24 20:54  /data/mysql_data/public_key .pem
-rw-r--r-- 1 root root 1078 Jun 24 20:54  /data/mysql_data/server-cert .pem
-rw------- 1 root root 1675 Jun 24 20:54  /data/mysql_data/server-key .pem


   * 修改数据目录下生成的SSL文件所属用户与权限

1
2
3
4
5
6
7
8
9
[root@MySQL ~] # chown -v mysql.mysql /data/mysql_data/*.pem
changed ownership of ` /data/mysql_data/ca-key .pem' to mysql:mysql
changed ownership of ` /data/mysql_data/ca .pem' to mysql:mysql
changed ownership of ` /data/mysql_data/client-cert .pem' to mysql:mysql
changed ownership of ` /data/mysql_data/client-key .pem' to mysql:mysql
changed ownership of ` /data/mysql_data/private_key .pem' to mysql:mysql
changed ownership of ` /data/mysql_data/public_key .pem' to mysql:mysql
changed ownership of ` /data/mysql_data/server-cert .pem' to mysql:mysql
changed ownership of ` /data/mysql_data/server-key .pem' to mysql:mysql


   * 查看生成的SSL文件

1
2
3
4
5
6
7
8
9
[root@MySQL ~] # ls -l /data/mysql_data/*.pem
-rw------- 1 mysql mysql 1679 Jun 24 20:54  /data/mysql_data/ca-key .pem
-rw-r--r-- 1 mysql mysql 1074 Jun 24 20:54  /data/mysql_data/ca .pem
-rw-r--r-- 1 mysql mysql 1078 Jun 24 20:54  /data/mysql_data/client-cert .pem
-rw------- 1 mysql mysql 1675 Jun 24 20:54  /data/mysql_data/client-key .pem
-rw------- 1 mysql mysql 1675 Jun 24 20:54  /data/mysql_data/private_key .pem
-rw-r--r-- 1 mysql mysql  451 Jun 24 20:54  /data/mysql_data/public_key .pem
-rw-r--r-- 1 mysql mysql 1078 Jun 24 20:54  /data/mysql_data/server-cert .pem
-rw------- 1 mysql mysql 1675 Jun 24 20:54  /data/mysql_data/server-key .pem


   * 重启 MySQL 服务

1
2
3
[root@MySQL ~] # /etc/init.d/mysqld restart
Shutting down MySQL.. SUCCESS! 
Starting MySQL. SUCCESS!


   * 连接MySQL 查看SSL开启状态

     have_openssl 与 have_ssl 值都为YES表示ssl开启成功

1
2
3
4
5
6
7
8
mysql> show variables like  'have%ssl%' ;
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_openssl  | YES   |
| have_ssl      | YES   |
+---------------+-------+
2 rows  in  set  (0.03 sec)


6. SSL + 密码连接测试

    * 创建用户并指定 SSL 连接 [ MySQL 5.7后推荐使用create user 方式创建用户 ]

1
2
mysql> create user  'ssl_test' @ '%'  identified by  '123'  require SSL;
Query OK, 0 rows affected (0.00 sec)


    * 通过密码连接测试 [ 默认采用SSL连接,需要指定不使用SSL连接 ]

1
2
3
[root@MySQL ~] # mysql -h 192.168.60.129 -ussl_test -p'123' --ssl=0
mysql: [Warning] Using a password on the  command  line interface can be insecure.
ERROR 1045 (28000): Access denied  for  user  'ssl_test' @ '192.168.60.129'  (using password: YES)


    * 通过 SSL + 密码 连接测试

       SSL: Cipher in use is DHE-RSA-AES256-SHA 表示通过SSL连接

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
[root@MySQL ~] # mysql -h 192.168.60.129 -ussl_test -p'123'  --ssl
mysql: [Warning] Using a password on the  command  line interface can be insecure.
WARNING: --ssl is deprecated and will be removed  in  a future version. Use --ssl-mode instead.
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection  id  is 12
Server version: 5.7.18 MySQL Community Server (GPL)
 
Copyright (c) 2000, 2017, Oracle and /or  its affiliates. All rights reserved.
 
Oracle is a registered trademark of Oracle Corporation and /or  its
affiliates. Other names may be trademarks of their respective
owners.
 
Type  'help;'  or  '\h'  for  help. Type  '\c'  to  clear  the current input statement.
 
mysql> \s
--------------
mysql  Ver 14.14 Distrib 5.7.18,  for  linux-glibc2.5 (x86_64) using  EditLine wrapper
 
Connection  id :     12
Current database: 
Current user:      ssl_test@192.168.60.129
SSL:            Cipher  in  use is DHE-RSA-AES256-SHA
Current pager:     stdout
Using outfile:      ''
Using delimiter:   ;
Server version:        5.7.18 MySQL Community Server (GPL)
Protocol version:  10
Connection:     192.168.60.129 via TCP /IP
Server characterset:   latin1
Db     characterset:   latin1
Client characterset:   utf8
Conn.  characterset:  utf8
TCP port:      3306
Uptime:         7 min 34 sec
 
Threads: 1  Questions: 29  Slow queries: 0  Opens: 112  Flush tables: 1  Open tables: 105  Queries per second avg: 0.063
--------------


7. SSL + 密码 + 密钥连接

    * 创建用户并指定 X509 [ SSL+密钥 ] 连接 [ MySQL 5.7后推荐使用create user 方式创建用户 ]

1
2
mysql> create user  'X509_test' @ '%'  identified by  '123'  require X509;
Query OK, 0 rows affected (0.00 sec)


    * 通过密码连接测试

1
2
3
[root@MySQL ~] # mysql -h 192.168.60.129 -uX509_test -p'123' --ssl=0
mysql: [Warning] Using a password on the  command  line interface can be insecure.
ERROR 1045 (28000): Access denied  for  user  'X509_test' @ '192.168.60.129'  (using password: YES)


    * 通过 SSL +密码 连接测试

1
2
3
[root@MySQL ~] # mysql -h 192.168.60.129 -uX509_test -p'123' --ssl
mysql: [Warning] Using a password on the  command  line interface can be insecure.
ERROR 1045 (28000): Access denied  for  user  'X509_test' @ '192.168.60.129'  (using password: YES)


    * 通过 SSL + 密码+密钥连接测试

    SSL: Cipher in use is DHE-RSA-AES256-SHA 表示通过SSL连接

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
[root@MySQL ~] # mysql -h 192.168.60.129 -uX509_test -p'123' --ssl-cert=/data/mysql_data/client-cert.pem --ssl-key=/data/mysql_data/client-key.pem 
mysql: [Warning] Using a password on the  command  line interface can be insecure.
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection  id  is 21
Server version: 5.7.18 MySQL Community Server (GPL)
 
Copyright (c) 2000, 2017, Oracle and /or  its affiliates. All rights reserved.
 
Oracle is a registered trademark of Oracle Corporation and /or  its
affiliates. Other names may be trademarks of their respective
owners.
 
Type  'help;'  or  '\h'  for  help. Type  '\c'  to  clear  the current input statement.
 
mysql> \s
--------------
mysql  Ver 14.14 Distrib 5.7.18,  for  linux-glibc2.5 (x86_64) using  EditLine wrapper
 
Connection  id :     21
Current database: 
Current user:      X509_test@192.168.60.129
SSL:            Cipher  in  use is DHE-RSA-AES256-SHA
Current pager:     stdout
Using outfile:      ''
Using delimiter:   ;
Server version:        5.7.18 MySQL Community Server (GPL)
Protocol version:  10
Connection:     192.168.60.129 via TCP /IP
Server characterset:   latin1
Db     characterset:   latin1
Client characterset:   utf8
Conn.  characterset:  utf8
TCP port:      3306
Uptime:         18 min 27 sec
 
Threads: 1  Questions: 40  Slow queries: 0  Opens: 118  Flush tables: 1  Open tables: 111  Queries per second avg: 0.036
--------------


8. 总结


以需求驱动技术,技术本身没有优略之分,只有业务之分。


      本文转自asd1123509133 51CTO博客,原文链接:http://blog.51cto.com/lisea/1942229,如需转载请自行联系原作者


相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
相关文章
|
1月前
|
缓存 关系型数据库 MySQL
MySQL索引策略与查询性能调优实战
在实际应用中,需要根据具体的业务需求和查询模式,综合运用索引策略和查询性能调优方法,不断地测试和优化,以提高MySQL数据库的查询性能。
109 24
|
5天前
|
安全 应用服务中间件 网络安全
实战经验分享:利用免费SSL证书构建安全可靠的Web应用
本文分享了利用免费SSL证书构建安全Web应用的实战经验,涵盖选择合适的证书颁发机构、申请与获取证书、配置Web服务器、优化安全性及实际案例。帮助开发者提升应用安全性,增强用户信任。
|
22天前
|
关系型数据库 MySQL 网络安全
DBeaver连接MySQL提示Access denied for user ‘‘@‘ip‘ (using password: YES)
“Access denied for user ''@'ip' (using password: YES)”错误通常与MySQL用户权限配置或网络设置有关。通过检查并正确配置用户名和密码、用户权限、MySQL配置文件及防火墙设置,可以有效解决此问题。希望本文能帮助您成功连接MySQL数据库。
34 4
|
1月前
|
安全 关系型数据库 MySQL
【赵渝强老师】MySQL的连接方式
本文介绍了MySQL数据库服务器启动后的三种连接方式:本地连接、远程连接和安全连接。详细步骤包括使用root用户登录、修改密码、创建新用户、授权及配置SSL等。并附有视频讲解,帮助读者更好地理解和操作。
121 1
|
1月前
|
监控 关系型数据库 MySQL
数据库优化:MySQL索引策略与查询性能调优实战
【10月更文挑战第27天】本文深入探讨了MySQL的索引策略和查询性能调优技巧。通过介绍B-Tree索引、哈希索引和全文索引等不同类型,以及如何创建和维护索引,结合实战案例分析查询执行计划,帮助读者掌握提升查询性能的方法。定期优化索引和调整查询语句是提高数据库性能的关键。
248 1
|
2月前
|
SQL Java 关系型数据库
java连接mysql查询数据(基础版,无框架)
【10月更文挑战第12天】该示例展示了如何使用Java通过JDBC连接MySQL数据库并查询数据。首先在项目中引入`mysql-connector-java`依赖,然后通过`JdbcUtil`类中的`main`方法实现数据库连接、执行SQL查询及结果处理,最后关闭相关资源。
152 6
|
2月前
|
NoSQL 关系型数据库 MySQL
MySQL与Redis协同作战:优化百万数据查询的实战经验
【10月更文挑战第13天】 在处理大规模数据集时,传统的关系型数据库如MySQL可能会遇到性能瓶颈。为了提升数据处理的效率,我们可以结合使用MySQL和Redis,利用两者的优势来优化数据查询。本文将分享一次实战经验,探讨如何通过MySQL与Redis的协同工作来优化百万级数据统计。
88 5
|
2月前
|
SQL JavaScript 关系型数据库
node博客小项目:接口开发、连接mysql数据库
【10月更文挑战第14天】node博客小项目:接口开发、连接mysql数据库
|
2月前
|
Java 关系型数据库 MySQL
【编程基础知识】Eclipse连接MySQL 8.0时的JDK版本和驱动问题全解析
本文详细解析了在使用Eclipse连接MySQL 8.0时常见的JDK版本不兼容、驱动类错误和时区设置问题,并提供了清晰的解决方案。通过正确配置JDK版本、选择合适的驱动类和设置时区,确保Java应用能够顺利连接MySQL 8.0。
253 1
|
2月前
|
架构师 关系型数据库 MySQL
MySQL最左前缀优化原则:深入解析与实战应用
【10月更文挑战第12天】在数据库架构设计与优化中,索引的使用是提升查询性能的关键手段之一。其中,MySQL的最左前缀优化原则(Leftmost Prefix Principle)是复合索引(Composite Index)应用中的核心策略。作为资深架构师,深入理解并掌握这一原则,对于平衡数据库性能与维护成本至关重要。本文将详细解读最左前缀优化原则的功能特点、业务场景、优缺点、底层原理,并通过Java示例展示其实现方式。
117 1

推荐镜像

更多
下一篇
DataWorks