博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
mysql ssl rsa setup_Mysql 5.7.18 加密连接mysql_ssl_rsa_setup 安装 mysql证书登陆
阅读量:5149 次
发布时间:2019-06-13

本文共 3885 字,大约阅读时间需要 12 分钟。

安装步骤:http://www.cnblogs.com/imweihao/p/7196516.html

转自:http://www.cnblogs.com/mysql-dba/p/7061300.html

一、SSL介绍

SSL(Secure Socket Layer:安全套接字层)利用数据加密、身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议提供安全性保证。

SSL协议提供的功能主要有:

1、数据传输的机密性:利用对称密钥算法对传输的数据进行加密。

2.、身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证,其中客户端的身份验证是可选的。

3、消息完整性验证:消息传输过程中使用MAC算法来检验消息的完整性。

如果用户的传输不是通过SSL的方式,那么其在网络中数据都是以明文进行传输的,而这给别有用心的人带来了可乘之机。所以,现在很多大型网站都开启了SSL功能。同样地,在我们数据库方面,如果客户端连接服务器获取数据不是使用SSL连接,那么在传输过程中,数据就有可能被窃取。

二、MySQL5.7 SSL启用

1.登陆数据库查看ssl是否开启

mysql> show variables like ‘have_ssl‘;

f6c0fbb2699359b44e3076be2b209dd0.png

#当have_ssl为YES时,表示此时MySQL服务已经支持SSL了.如果是DESABLE,则需要在启动安装mysql_ssl_rsa_setup使其能支持SSL功能

2.安装mysql_ssl_rsa_setup

[[email protected] mysqldata]# service mysqld stop

[[email protected] mysql]# bin/mysql_ssl_rsa_setup

ee7900d2efffba17051125cd11c46b5f.png

[[email protected] mysql]# cd /data/mysqldata/

[[email protected] mysqldata]# chown -R mysql.mysql *.pem

[[email protected] mysql]# service mysqld restart

[[email protected] mysql]# cd /data/mysqldata/

[[email protected] mysqldata]# ls -lh *.pem

运行完命令mysql_ssl_rsa_setup后会发现数据目录下多出了一些以pem结尾的文件,而这些文件就是开启SSL连接所需要的文件

bf73a279ea7da7e1f08c229295d28354.png

3.启动MySQL数据库并查看变量是否发生改变:

mysql> show variables like ‘have_ssl‘;

55e4df79775c122d50772fd68e10436e.png

该参数表示MySQL服务器开启了SSL功能

三、MySQL5.7 SSL配置

1.查看连接的方式,下图表示没有使用ssl连接

mysql> \s

1ed7945d6e0959929efea12478652970.png

【注意】:如果用户是采用本地localhost或者sock连接数据库,那么不会使用SSL方式了。

2.添加ssl参数到my.cnf配置文件

添加ssl参数到my.cnf配置文件

[mysqld]

ssl-ca=/opt/mysql01/data/ca.pem

ssl-cert=/opt/mysql01/data/client-cert.pem

ssl-key=/opt/mysql01/data/client-key.pem

[mysql]

ssl-ca=/opt/mysql01/data/ca.pem

ssl-cert=/opt/mysql01/data/client-cert.pem

ssl-key=/opt/mysql01/data/client-key.pem

3.客户端连接

[[email protected] mysql]# bin/mysql -uroot -h 192.168.31.84 -p

最好使用远程连接进行测试,localhost或者-S unix socket连接,这种有可能不会用ssl。

mysql> status

--------------

bin/mysql Ver 14.14 Distrib 5.7.9, for Linux (x86_64) using EditLine wrapper

Connection id: 10

Current database:

SSL: Cipher in use is DHE-RSA-AES256-SHA

Current pager: stdout

Using outfile: ‘‘

Using delimiter: ;

status中SSL中显示Cipher in use,表明当前连接使用ssl

或者查看状态Ssl_cipher也可以,Value不为空,表明客户端连接启用ssl

mysql> show status like ‘ssl_cipher‘;

+---------------+--------------------+

| Variable_name | Value |

+---------------+--------------------+

| Ssl_cipher | DHE-RSA-AES256-SHA |

+---------------+--------------------+

1 row in set (0.00 sec)

如果客户不想使用ssl连接,可以在mysql连接参数中使用-ssl=0来禁用ssl连接,执行效果请自行使用status查看

mysql> bin/mysql -uroot -h 192.168.31.84 --ssl=0 -p

远程连接结果需开启root远程连接,实际生产不建议使用root

mysql> GRANT ALL PRIVILEGES ON *.* TO [email protected]%‘ IDENTIFIED BY ‘123456‘ WITH GRANT OPTION;

mysql> flush privileges;

mysql> quit

强制某用户必须使用SSL连接数据库

#修改已存在用户

mysql> ALTER USER [email protected]%‘ REQUIRE SSL;

#新建必须使用SSL用户

mysql> grant select on *.* to [email protected]%‘ identified by ‘xxx‘ REQUIRE SSL;

#对于上面强制使用ssl连接的用户,如果不是使用ssl连接的就会报错,像下面这样:

[[email protected] mysql] /usr/local/mysql/bin/mysql -udba -p -h10.126.xxx.xxx --ssl=0

Enter password:

ERROR 1045 (28000): Access denied for user [email protected] (using password: YES)

四、未使用SSL和使用SSL安全性对比

【测试方式】在MySQL服务器端通过tshark抓包的方式来模拟窃取数据。验证、对比未使用SSL和使用SSL两者在安全性上有什么不同?

1.未使用SSL情况:

在客户端机器(10.126.126.161)上连接数据库并进行insert操作,使用--ssl-mode=DISABLED关闭SSL

d75bb51d63056bccf60a6989688e38c6.png

同时在MySQL服务器端(10.126.126.160)上用tshark进行抓包:

e7b34059b06d23137962bb59ce846410.png

【结论】未使用SSL情况下,在数据库服务器端可以通过抓包的方式获取数据,安全性不高。

2.采用SSL情况:

在客户端机器(10.126.126.161)上连接数据库并进行insert操作,使用--ssl-mode=REQUIRED指定SSL

c2172aaddd012a13ad87a46c8fdeee75.png

同时在MySQL服务器端(10.126.126.160)上再次用tshark进行抓包:

ed5522eb9576f3eaa92ce522201ad356.png

【结论】没有抓到该语句,采用SSL加密后,tshark抓不到数据,安全性高。

五、使用SSL前后性能对比(QPS)

服务器配置:CPU:32核心       内存:128G      磁盘:SSD

为了尽量准确测试QPS,采用全内存查询,因为我们线上热点数据基本都在内存中;按照并发线程数分类:1线程、4线程、8线程、16线程、24线程、32线程、64线程;

1e7e4289851538ef9f9a8d6b0aa57479.png

具体数据如下:

f248d3461fa5710657367d365abb81fb.png

从测试数据可以发现,开启SSL后,数据库QPS平均降低了23%左右,相对还是比较影响性能的。从SSL实现方式来看,建立连接时需要进行握手、加密、解密等操作。所以耗时基本都在建立连接阶段,这对于使用短链接的应用程序可能产生更大的性能损耗,比如采用PHP开发。不过如果使用连接池或者长连接可能会好许多。

六、总结

1、MySQL5.7默认是开启SSL连接,如果强制用户使用SSL连接,那么应用程序的配置也需要明确指定SSL相关参数,否则程序会报错。

2、虽然SSL方式使得安全性提高了,但是相对地使得QPS也降低23%左右。所以要谨慎选择:

2.1、对于非常敏感核心的数据,或者QPS本来就不高的核心数据,可以采用SSL方式保障数据安全性;

2.2、对于采用短链接、要求高性能的应用,或者不产生核心敏感数据的应用,性能和可用性才是首要,建议不要采用SSL方式;

原文:http://www.cnblogs.com/imweihao/p/7199547.html

你可能感兴趣的文章
Ubuntu查找通过apt命令已安装软件
查看>>
关于GC和析构函数的一个趣题
查看>>
跨域问题整理
查看>>
[Linux]文件浏览
查看>>
Sybase 存储过程中IF的用法
查看>>
EasyUI, Dialog 在框架页(ifrmae)的Top页面弹出时,拖拽Dialog边缘(以改变窗口大小),UI界面被卡死的解决办法...
查看>>
在26个大小写字母(52个),以及9个数字组成的字符列表中,随机生成10个8位密码...
查看>>
CentOS下vm虚拟机桥接联网
查看>>
64位主机64位oracle下装32位客户端ODAC(NFPACS版)
查看>>
获取国内随机IP的函数
查看>>
C/C++的64位整型
查看>>
从setContentView()谈起
查看>>
java-接口—策略模式
查看>>
ms sqlserver数据库主文件特别大怎么办
查看>>
架构师
查看>>
LBP人脸识别的python实现
查看>>
今天第一次写博客
查看>>
极光推送没你想象的那么难
查看>>
NYOJ 26 孪生素数
查看>>
asp.net时间类-格式-方法应用
查看>>