MySQL管理——网络传输安全

MySQL
196
0
0
2024-02-05
MySQL高可用搭建方案之(MHA)
上一篇
技术分享 | 如何避免 RC 隔离级别下的 INSERT 死锁
下一篇

数据库会遭受多种攻击方式,例如,SQL注入、利用缓冲区错误、暴力破解、及网络窃听等等。这一篇主要介绍关于MySQL如何防止网络窃听的方法。

MySQL防止网络窃听主要的方法是在所有的连接和传输时都要进行加密,使用SSL/TLS(Secure Socket Layer/ Transport Layer Security)。加密后的传输内容无法被窃听者读取。MySQL的SSL/TSL基于 OpenSSL API实现。MySQL中的许多选项和变量都涉及SSL,但实际上它使用的是更为安全的TLS,包括验证身份、检测传输中的更改及防止重放等机制在内。

TLS通过加密算法保证从公共网络接收到的数据是可信的,并能够检查数据是否有更改、丢失或被重放,此外,TLS还结合了使用X509标准提供身份验证的算法。

X509可以通过使用证书CA识别来自互联网的用户,证书依赖于具有公钥和私钥的非对称加密算法,证书的持有者可以向另一方出示证书作为身份证明,证书包含所有者的公钥,通过公钥加密的数据,仅能够给通过对应的私钥进行解密,私钥仅保存在证书的持有者手中。

MySQL包含OpenSSL库用以支持 TLSv1,TLSv1.1,TLSv1.2 及TLSv1.3。用户可以通过查看“Ssl_version”和“Ssl_cipher”状态变量确认MySQL当前使用哪种加密协议及密码。

一些应用程序需要使用安全连接提供的额外安全性,因此,MySQL可以基于每个连接决定是否启用安全连接方式,并可以对每个用户强制或作为选项启用。

MySQL建立安全连接的过程如下:

  1. 客户端发起一个连接至服务器的安全连接
  2. 服务器提供数字证书给客户端用以识别服务器及提供服务器的公钥
  3. 客户端决定会话密钥,并使用服务器的公钥加密传输到服务器
  4. 服务器用私钥解密客户端传至服务器的会话密钥
  • 此时,该会话密钥仅客户端和服务器持有
  • 其他会话使用该会话密钥进行加密解密传输内容
  • SSL包括检测修改并防止回放的机制

生成数字证书

使用SSL时,服务器必须具有一个由凭据管理中心CA发行,基于X509格式的数字证书。CA验证服务器并提供用于非对称加密的公钥/私钥,CA可以是一个第三方组织,或者由服务器充当CA提供自签名的数字证书。MySQL可以作为CA并生成自签名的证书。如果MySQL启用了SSL,并且服务器满足OpenSSL的要求,当服务器启动时,会自动检查数字证书,如果证书不存在,会生成新的证书。用户也可以使用"mysql_ssl_rsa_setup"生成数字证书文件,通过使用不同的选项,满足用户对证书的需求。

默认情况下,服务器开启了SSL,用户可以通过“SHOW VARIABLES LIKE 'have_ssl'”查看是否开启。如果需要禁用MySQL服务器的SSL,在启动MySQL时,需要执行选项"--ssl=0"或“--skip-ssl”。

当客户端使用TCP/IP协议连接MySQL服务器时,默认开启了SSL。可以在mysql shell下执行“\status”查看当前SSL状态,例如,

MySQL  127.0.0.1:3350 ssl  SQL > \status
MySQL Shell version 8.0.28-commercial

Connection Id:                47
Current schema:               
Current user:                 root@localhost
SSL:                          Cipher in use: TLS_AES_256_GCM_SHA384 TLSv1.3
Using delimiter:              ;
Server version:               8.0.30-commercial MySQL Enterprise Server - Commercial
Protocol version:             Classic 10
Client library:               8.0.28
Connection:                   127.0.0.1 via TCP/IP
TCP port:                     3350
Server characterset:          utf8mb4
Schema characterset:          utf8mb4
Client characterset:          utf8mb4
Conn. characterset:           utf8mb4
Result characterset:          utf8mb4
Compression:                  Disabled
Uptime:                       104 days 21 hours 31 min 22.0000 sec

Threads: 2  Questions: 984  Slow queries: 36  Opens: 623  Flush tables: 4  Open tables: 328  Queries per second avg: 0.000

此外,客户端可以通过“--ssl-mode”选项设定不同的安全连接,该选项值包括如下:

  • PERFERRED:可能的情况下建立一个安全连接,否则建立一个非安全连接
  • DISABLED:建立非安全连接
  • REQUIRED:建立一个安全连接,无法建立时,则失败。
  • VERIFY_CA:包含“REQUIRED”的要求,但是需要验证服务器的CA数字签名
  • VERIFY_IDENTITY:包含“VERIFY_CA”的要求,但是需要验证签名是否匹配MySQL服务器的主机

例如,关闭SSL

$  mysqlsh --ssl-mode=DISABLED root@127.0.0.1:3350
 MySQL  127.0.0.1:3350  JS > \sql
Switching to SQL mode... Commands end with ;
 MySQL  127.0.0.1:3350  SQL > SHOW VARIABLES LIKE 'have_ssl';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_ssl      | YES   |
+---------------+-------+
1 row in set (0.0023 sec)
 MySQL  127.0.0.1:3350  SQL > \status
MySQL Shell version 8.0.28-commercial

Connection Id:                49
Current schema:               
Current user:                 root@localhost
SSL:                          Not in use.
Using delimiter:              ;
Server version:               8.0.30-commercial MySQL Enterprise Server - Commercial
Protocol version:             Classic 10
Client library:               8.0.28
Connection:                   127.0.0.1 via TCP/IP
TCP port:                     3350
Server characterset:          utf8mb4
Schema characterset:          utf8mb4
Client characterset:          utf8mb4
Conn. characterset:           utf8mb4
Result characterset:          utf8mb4
Compression:                  Disabled
Uptime:                       104 days 21 hours 45 min 48.0000 sec

Threads: 2  Questions: 996  Slow queries: 36  Opens: 627  Flush tables: 4  Open tables: 332  Queries per second avg: 0.000

从输出的内容可以看出,当前客户端并没有使用SSL。

配置安全连接的加密算法

为服务器和客户端配置复杂的算法及足够长的密钥可以增加安全性,可以通过“--ssl-cipher”选项指定允许使用的加密算法,选项值可以包含多个,用“:”分割。例如,

--ssl-cipher=DHE-RSA-AES256-SHA:AES128-SHA

“--ssl-cipher”选项配置包括一个全局系统变量及两个会话状态变量,例如,

 MySQL  127.0.0.1:3350 ssl  SQL > SHOW GLOBAL VARIABLES LIKE 'ssl_cipher';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| ssl_cipher    |       |
+---------------+-------+
1 row in set (0.0020 sec)
 MySQL  127.0.0.1:3350 ssl  SQL > SHOW SESSION STATUS LIKE 'Ssl_cipher';
+---------------+------------------------+
| Variable_name | Value                  |
+---------------+------------------------+
| Ssl_cipher    | TLS_AES_256_GCM_SHA384 |
+---------------+------------------------+
1 row in set (0.0012 sec)

全局系统变量“ssl_cipher”表示允许使用的加密算法,如果未指定该选项,则显示空白,意味着可以使用MySQL支持的任何加密算法。“Ssl_cipher”会话状态变量显示当前会话使用的加密算法。

按用户配置客户端选项

在创建用户或者更改用户语句里,使用“REQUIRE语句”可以为不同的用户指定是否使用SSL/TLS。选项值包括如下:

  • NONE:默认值,用户没有SSL或X509要求,可以使用安全连接或不安全连接
  • SSL:用户必须使用安全连接
  • X509:用户从客户端必须使用数字证书进行安全连接
  • ISSUER:用户从客户端必须使用有指定CA发行的证书进行连接
  • SUBJECT:用户必须使用安全连接从客户端连接,并要求数字前面指定的“subjecg”区域识别证书的所有者
  • CIPHER:用户必须使用指定加密算法的安全连接

例如,

ALTER USER user1@localhost REQUIRE SSL;
ALTER USER user2@localhost REQUIRE X509;
ALTER USER user3@localhost REQUIRE CIPHER 'DHE-RSA-AES256-SHA';

以上内容是关于创建MySQL安全连接的介绍,安全连接可以避免MySQL遭受网络窃听,防止数据信息泄露。感谢您关注“MySQL解决方案工程师”。

MySQL高可用搭建方案之(MHA)
上一篇
技术分享 | 如何避免 RC 隔离级别下的 INSERT 死锁
下一篇