你的MySQL伺服器開啟SSL了嗎？

2019 年 10 月 4 日
筆記

最近，準備升級一組MySQL到5.7版本，在安裝完MySQL5.7後，在其data目錄下發現多了很多.pem類型的文件，然後通過查閱相關資料，才知這些文件是MySQL5.7使用SSL加密連接的。本篇主要介紹MySQL5.7 SSL連接加密功能、如何使用？以及使用SSL的一些注意點。

我們知道，MySQL5.7之前版本，安全性做的並不夠好，比如安裝時生成的root空密碼帳號、存在任何用戶都能連接上的test庫等，導致資料庫存在較大的安全隱患。好在5.7版本對以上問題進行了一一修復。與此同時，MySQL 5.7版本還提供了更為簡單SSL安全訪問配置，且默認連接就採用SSL的加密方式，這讓資料庫的安全性提高一個層次。

一、SSL介紹

SSL（Secure Socket Layer：安全套接字層）利用數據加密、身份驗證和消息完整性驗證機制，為基於TCP等可靠連接的應用層協議提供安全性保證。

SSL協議提供的功能主要有：

1、數據傳輸的機密性：利用對稱密鑰演算法對傳輸的數據進行加密。 2.、身份驗證機制：基於證書利用數字簽名方法對伺服器和客戶端進行身份驗證，其中客戶端的身份驗證是可選的。 3、消息完整性驗證：消息傳輸過程中使用MAC演算法來檢驗消息的完整性。

如果用戶的傳輸不是通過SSL的方式，那麼其在網路中數據都是以明文進行傳輸的，而這給別有用心的人帶來了可乘之機。所以，現在很多大型網站都開啟了SSL功能。同樣地，在我們資料庫方面，如果客戶端連接伺服器獲取數據不是使用SSL連接，那麼在傳輸過程中，數據就有可能被竊取。

二、MySQL5.7 SSL配置和啟用

1、安裝時啟動SSL

在MySQL5.7安裝初始化階段，我們發現比之前版本多了一步操作，而這個操作就是安裝SSL的。

shell> bin/mysqld --initialize --user=mysql    # MySQL 5.7.6 and upshell> bin/mysql_ssl_rsa_setup                 # MySQL 5.7.6 and up

當運行完這個命令後，默認會在data_dir目錄下生成以下pem文件，這些文件就是用於啟用SSL功能的：

# ll rwrwrrwrrw#客戶端連接伺服器端需要提供的私鑰文件  -rw    #私鑰/公鑰對的私有成員  rwr     #私鑰/公鑰對的共有成員  rwr    #伺服器端證書文件  rw

這時從資料庫伺服器本地進入MySQL命令行，你可以看到如下變數值：

root> mysql -h 10.126.xxx.xxx -udba -p        dba:(none) show global variables   Variable_name  Value            have_openssl   YES                         ssl_ca         ca.pem           ssl_capath                      ssl_cert       servercert.pem  ssl_cipher                      ssl_crl                         ssl_crlpath                     ssl_key        server.pem

dba:(none)> s ————– /usr/local/mysql/bin/mysql Ver 14.14 Distrib 5.7.18, for linux-glibc2.5 (x86_64) using EditLine wrapper

Connection id: 2973 Current database: Current user: [email protected] SSL: Cipher in use is DHE-RSA-AES256-SHA #表示該dba用戶是採用SSL連接到mysql伺服器上的，如果不是ssl，那麼會顯示「Not in use「 Current pager: more Using outfile: '' Using delimiter: ; Server version: 5.7.18-log MySQL Community Server (GPL) Protocol version: 10 Connection: 10.126.126.160 via TCP/IP Server characterset: utf8 Db characterset: utf8 Client characterset: utf8 Conn. characterset: utf8 TCP port: 3306 Uptime: 2 hours 35 min 48 sec

【注意】：如果用戶是採用本地localhost或者sock連接資料庫，那麼不會使用SSL方式了。

2、如果安裝MySQL57時沒有運行過mysql_ssl_rsa_setup，那麼如何開啟SSL呢？

1)、關閉MySQL服務2)、運行mysql_ssl_rsa_setup 命令3)、到data_dir目錄下修改.pem文件的所屬許可權用戶為mysql      chown -R mysql.mysql *.pem4)、啟動MySQL服務

3、強制某用戶必須使用SSL連接資料庫

#修改已存在用戶   ALTER USER 'dba'@'%' REQUIRE SSL;  #新建必須使用SSL用戶grant select on *.* to 'dba'@'%' identified by 'xxx' REQUIRE SSL;

對於上面強制使用ssl連接的用戶，如果不是使用ssl連接的就會報錯，像下面這樣：

[root]# /usr/local/mysql/bin/mysql -udba -p -h10.126.xxx.xxx --ssl=0Enter password:   ERROR 1045 (28000): Access denied for user 'dba'@'10.126.xxx.xxx' (using password: YES)

三、未使用SSL和使用SSL安全性對比

【測試方式】在MySQL伺服器端通過tshark抓包的方式來模擬竊取數據。驗證、對比未使用SSL和使用SSL兩者在安全性上有什麼不同？

1 未使用SSL情況：

在客戶端機器(10.126.126.161)上連接資料庫並進行insert操作，使用–ssl-mode=DISABLED關閉SSL