MYSQL8安全之SSL认证

这篇具有很好参考价值的文章主要介绍了MYSQL8安全之SSL认证。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

SSL概念

SSL(Secure Socket Layer: 安全套接字) 利用数据加密,身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议。
SSL协议提供的功能主要有:

  1. 数据传输的机密性;利用对称密钥算法对传输的数据进行加密
  2. 身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证,其中客户端的身份验证是可选的
  3. 消息完整性验证:消息传输过程中使用MAC算法来校验消息的完整性。

如果用户的传输不是通过SSL的方式,那么其在网络中数据都是以明文进行传输的。

在数据库方面,客户端连接服务器使用SSL连接,能加密通信数据。

  1. 启用 SSL:可以在 MySQL 配置文件中启用 SSL,需要指定 SSL 证书、私钥和 CA 证书的路径。
  2. SSL 握手验证:MySQL 8 支持 SSL 握手验证,可以确保客户端连接到正确的服务器。
  3. SSL 客户端认证:MySQL 8 支持客户端证书认证,可以进一步增强安全性。
  4. SSL 连接限制:可以通过修改 MySQL 配置文件中的参数来限制 SSL 连接的最大数量和连接的最大并发数。

总的来说,MySQL 8 的 SSL 功能可以帮助用户更安全地管理数据库,提高数据安全性。


MYSQL实现SSL的流程

  1. 先为MYSQL服务器创建SSL证书和私钥
  2. 在MYQL里面配置SSL,并启动服务
  3. 创建用户的时候带上SSL标签(require ssl)
  4. 连接数据库的时候带上SSL

MYSQL配置SSl

  1. 手工配置:mysql5.7.6以下版本只能手工配置
  2. 自动配置:mysql5.7.6以上版本支持自动配置

0、SSL策略

--ssl-mode 是 MySQL 命令行客户端的一个选项,用于指定 SSL/TLS 连接的模式。

它有四个可能的值:

  • DISABLED禁用 SSL
  • REQUIRED必须使用 SSL
  • VERIFY_CA验证CA
  • VERIFY_IDENTITY验证身份

在连接到远程 MySQL 服务器时,需要保护敏感信息和数据的安全性,因此应使用 SSL 来加密通信。
而为了提供最高级别的信任和安全性,应将--ssl-mode 设置为REQUIRED
--ssl-mode REQUIREDMySQL8中最高安全级别,它要求客户端必须使用加密 SSL/TLS 连接到服务器,并验证服务器的身份。
--ssl-mode VERIFY_IDENTITY 不强制要求加密 SSL/TLS 连接,它仅检查并验证服务器证书,因此不如 --ssl-mode REQUIRED 安全
这意味着 MySQL 客户端将试图建立 SSL 连接,并且如果无法建立 SSL 连接,则不会连接到 MySQL 服务器,从而确保只有通过 SSL 连接才能访问数据库。

详细解释如下:

  • REQUIRED 要求所有 MySQL 客户端必须通过 TLS 密码套件建立与数据库服务器之间的连接,以提供最高级别信任和安全性。。

  • VERIFY_IDENTITY 选项要求 MySQL 客户端验证数据库服务器的身份,并持有与其授予一致的主机名或 IP 地址。但如果数据库服务器使用自签名证书,则可能会由于无法在公钥基础架构中下载到 CRL 和 OCSP 响应而交予妥协项,从而使校验变得不安全。

  • PREFERRED 标志允许客户端建议并尝试进行 SSL 连接,但不需要建立 SSL 连接。如果 MySQL 客户端请求未加密连接时,服务器会回答该请求。

  • VERIFY_CA 在服务器端上对客户端启用 SSL 协议,并确保 SSL 连接是在根证书颁发机构的颁发证书上建立的,而且客户端提供了匹配考验的专业证书,非常适合客户端软件的验信标准很高或者要求传输数据增强保护的情况。


1、创建证书

# 安装openssl依赖包
dnf install -y openssl

# 查看openssl版本
openssl version

image.png

# 生成SSL连接所需要的RSA密钥对
## datadir 指定数据库文件鹿筋
## user和uid 指定运行mysql_ssl_rsa_setup命令的用户
mysql_ssl_rsa_setup --datadir=/var/lib/mysql --user=mysql --uid=mysql

# 默认执行即可
mysqld_ssl_rsa_setup

## -vvv 详细,debug模式

image.png
会自动在datadir目录下创建下面的证书文件

  • ca-key.pem:CA证书私钥文件,用于生成SSL连接所需的服务器和客户端证书。
  • ca.pem:CA证书公钥文件,用于验证SSL连接中服务器和客户端证书的合法性。
  • client-cert.pem:客户端证书,在SSL连接中用于验证客户端的身份。
  • client-key.pem:客户端证书的私钥,用于加密和解密SSL连接中客户端发送的数据。
  • private_key.pem:私钥文件,用于加密和解密SSL连接中的数据。
  • public_key.pem:公钥文件,用于验证SSL连接中的数据。
  • server_cert.pem:服务器证书,用于验证MySQL数据库服务器的身份。
  • server_key.pem:服务器证书的私钥,用于加密和解密SSL连接中服务器发送的数据。

2、配置SSL证书

https://blog.csdn.net/Sn_Keys/article/details/126425869

[mysqld]
# 指定CA证书公钥文件的路径
ssl-ca=/path/to/ca.pem
# 指定mysql服务器证书的路径
ssl-cert=/path/to/server_cert.pem
# 指定mysql服务器证书的私钥路径
ssl-key=/path/to/server_key.pem


[client]
# 指定CA证书公钥文件的路径
ssl-ca=/path/to/ca.pem
# 指定mysql客户端证书的路径
ssl-cert=/path/to/client_cert.pem
# 指定mysql客户端证书的私钥路径
ssl-key=/path/to/client_key.pem

重启mysql服务

# 重启mysql服务
systemctl restart mysqld

检查状态

-- 检查数据库是否启用SSL
show variables LIKE 'have_SSl';

image.png

-- 查看全局变量中包含"SSL"字符的所有变量名和值
show global variables LIKE '%SSL%';

-- 查看tls安全传输版本
show global variables LIKE 'tls_version';

MySQL5.7.35 开始,不推荐使用 TLSv1TLSv1.1 连接协议
image.png


3、配置SSL用户


创建用户普通认证方式

-- 创建用户
CREATE USER 用户名@'%' IDENTIFIED BY '表名';

-- 给用户授权
GRANT ALL ON *.* TO 用户名@'%';

-- 应用权限配置
FLUSH PRIVILEGES;

-- 查看用户权限
SELECT user,host,ssl_type,ssl_cipher FROM mysql.user;

创建用户强制证书认证

REQUIRE SSL 强制要求客户端使用 SSL/TLS加密协议与服务器进行通信
REQUIRE X509强制要求客户端不仅要使用 SSL/TLS连接,而且还需要提供一个有效的 x509证书。在使用 REQUIRE X509 时,MySQL 服务器会验证客户端提供的证书是否是受信任的,并且该证书是否匹配已经注册的用户帐户中的证书

-- require ssl 强制用户使用证书认证
CREATE USER 用户名@'%' IDENTIFIED BY '表名' require ssl;

-- require x509 强制用户使用证书认证
CREATE USER 用户名@'%' IDENTIFIED BY '表名' require x509;

image.png

-- 给用户授权
GRANT ALL ON *.* TO 用户名@'%';

-- 应用权限配置
FLUSH PRIVILEGES;

-- 查看用户权限
SELECT user,host,ssl_type,ssl_cipher FROM mysql.user;

image.png


设置用户强制证书登录

-- 设置强制ssl
alter user user0001@'%' require ssl;

-- 取消强制ssl
alter user user0001@'%' require none; 

4、SSL登录


SSL加密登录方法1;

# --ssl-mode=disable: 表示关闭SSL加密模式
mysql -uroot -p --ssl-mode=disable

# 登录mysql后查看加密模式
mysql> status;

image.png

# --ssl-mode=required: 表示强制开启SSL加密模式
mysql -uroot -p --ssl-mode=required

image.png

-- 登录mysql后查看加密模式
status;

image.png


SSL加密登录方法2:

image.png

# 指定CA证书及客户端证书及私钥
mysql -uroot -p --ssl-ca=/var/lib/mysql/ca.pem \
--ssl-cert=/var/lib/mysql/client-cert.pem \
--ssl-key=/var/lib/mysql/client-key.pem

image.png文章来源地址https://www.toymoban.com/news/detail-487560.html

到了这里,关于MYSQL8安全之SSL认证的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 山石网科SSL安全连接(Hillstone Secure Connect)配置案例(最新版)

    本文指导用户在防火墙WebUI界面配置Hillstone Secure Connect功能,方便用户使用。 软件版本 SG-6000-M-3-5.5R8P4.bin 硬件平台 SG-6000-E1600 3.2.1 新建Hillstone Secure Connect 实例 新建Hillstone Secure Connect,网络--Hillstone Secure Connect--Hillstone Secure Connect--新建,如图1所示: 配置名称/接入用户:填写

    2024年02月05日
    浏览(37)
  • c++使用OpenSSL基于socket实现tcp双向认证ssl(使用TSL协议)代码实现

    相信各位对OpenSSL库已经不陌生了,目前笔者使用这个库实现了RSA、AES加解密和tcp的双向认证功能,下面来看tcp的双向认证。 简单说双向认证就是:客户端认证服务端是否合法,服务端认证客户端是否合法 。 可以借助于HTTPS来说明,http网络传输协议是超文本的明文协议,也就

    2024年02月06日
    浏览(59)
  • 【ssl认证、证书】SSL 证书基本概念、证书格式、openssl和keytool的区别

    相关文章: //-----------Java SSL begin---------------------- 【ssl认证、证书】SSL双向认证和SSL单向认证的区别(示意图) 【ssl认证、证书】java中的ssl语法API说明(SSLContext)、与keytool 工具的联系 【ssl认证、证书】SSL双向认证java实战、keytool创建证书 【ssl认证、证书】Wireshark抓包分析 【s

    2024年02月02日
    浏览(36)
  • windows系统修改mysql8配置文件,关闭ssl验证

    我的电脑,右键,管理,服务 找到MySQL8   右键,属性 找到配置文件位置 通常情况下的默认路径是: C:ProgramDataMySQLMySQL Server 8.0my.ini 打开 my.ini 配置内容如下: 如图所示   重新启动mysql服务即可

    2024年02月16日
    浏览(52)
  • MySQL运维实战(2.4) SSL认证在MySQL中的应用

    作者:俊达 MySQL支持使用TLS协议进行通信,该协议在数据库通信中具有关键作用。首先,TLS能够加密客户端与服务端之间的通信数据,涵盖了客户端发送至服务端的SQL请求以及服务端返回给客户端的数据,从而确保敏感信息的保密性和完整性。除此之外,TLS还允许客户端验证

    2024年02月03日
    浏览(39)
  • 基于SSL/TLS双向安全连接设备CA证书认证

    小伙伴儿们,如果觉得文章干货满满,欢迎加入公众号【编程识堂】,更多干货等你们来哦! 设备证书是由CA根证书签发给客户端设备使用的数字证书,用于客户端和服务端连接时,服务端对客户端进行安全认证。认证通过后服务端和客户端可基于证书内的加密密钥进行安全

    2024年01月20日
    浏览(47)
  • Mysql8.0 安全配置

            目前业界的MySQL主流分支版本有Oracle官方版本的MySQL、Percona Server for mysql、MariaDB 。每个分支都有自己的特色,功能也存在不同的差异。我们平常使用的官方版本是指的ORACLE官方版本的Mysql, 官方版本主要分为社区版和企业版 , 两者的差异主 要在一些定制插件方面

    2024年02月17日
    浏览(43)
  • MYSQL8安全之审计管理

    审计:记录用户的操作,方便以后查证,但 生产环境 数据库本身 不建议 开启,会影响性能,可以使用 第三方 实现审计。 mysql5.7 企业版 自带审计功能,需要 付费 。 社区版 可以使用 McAfee 提供的开源软件 mysql Audit Pluging 项目地址:https://github.com/trellix-enterprise/mysql-audit 修改

    2024年02月09日
    浏览(42)
  • 解决forest低版本请求不安全的网站出现SSL认证不通过问题

    先说结论:无法解决 那既然无法解决,为啥还要写这样一篇文章呢,是因为这个问题我弄了一天多,我觉得有必要记录一下; 同时后面也是使用了hutool 的http作为代替方案,也是因为在hutool的官网没有特意标明,所以这也是一个理由吧! 简单点说,就是公司系统,只允许使

    2024年02月13日
    浏览(35)
  • javax.net.ssl.SSLHandshakeException:(HTTPS绕过安全认证进行请求链接)

    1、问题: 在使用jsoup爬取数据时,碰到了使用https的网站,遇到报错:javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: validity check failed 2、解决 后自己在网上查了一些资料,找到相关解决代码: 3、方法调用  

    2024年02月08日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包