MySQL数据库SSL安全连接方式
作者:水步天
1. 背景
使用数据库过程中,数据的安全成为必不可少的一道考量要求,尤其是敏感数据的传输和存储,对数据的传输机密性、完整性和身份验证机制提出了新的要求。
SSL/TLS加密可防止数据在传输过程中被窃 听或篡改,适用于敏感数据(如用户密码、支付信息)的传输。
主流数据库(MySQL、PostgreSQL、MongoDB等)均支持SSL连接。
2. SSL
SSL(Secure Socket Layer: 安全套接字) 利用数据加密,身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议。
SSL协议提供的功能主要有:
- 数据传输的机密性;利用对称密钥算法对传输的数据进行加密
- 身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证,其中客户端的身份验证是可选的
- 数据传输的完整性验证:数据传输过程中使用MAC算法来校验数据的完整性。
如果用户的传输不是通过SSL的方式,那么其在网络中数据都是以明文进行传输的。
在数据库方面,客户端连接服务器使用SSL连接,能加密通信数据。
- 启用 SSL:可以在 MySQL 配置文件中启用 SSL,需要指定 SSL 证书、私钥和 CA 证书的路径。
- SSL 握手验证:MySQL 8 支持 SSL 握手验证,可以确保客户端连接到正确的服务器。
- SSL 客户端认证:MySQL 8 支持客户端证书认证,可以进一步增强安全性。
- SSL 连接限制:可以通过修改 MySQL 配置文件中的参数来限制 SSL 连接的最大数量和连接的最大并发数。
总的来说,MySQL 8 的 SSL 功能可以帮助用户更安全地管理数据库,提高数据安全性。本文以MySQL8.0.43为例进行演示。MYSQL版本8.0.43,默认是开启ssl的,同时也是自带证书的在/var/lib/mysql/下
2.1. MYSQL实现SSL的流程
- 先为MYSQL服务器创建SSL证书和私钥
- 在MYQL里面配置SSL,并启动服务
- 创建用户的时候带上SSL标签(require ssl)
- 连接数据库的时候带上SSL
2.2. MYSQL配置SSl
- 手工配置:mysql5.7.6以下版本只能手工配置
- 自动配置:mysql5.7.6以上版本支持自动配置
2.2.1. SSL策略
--ssl-mode 是 MySQL 命令行客户端的一个选项,用于指定 SSL/TLS 连接的模式。
它有四种值:
DISABLED:禁用 SSLREQUIRED:必须使用 SSLVERIFY_CA:验证CAVERIFY_IDENTITY:验证身份
在连接到远程 MySQL 服务器时,需要保护敏感信息和数据的安全性,因此应使用 SSL 来加密通信。
而为了提供最高级别的信任和安全性,应将–ssl-mode 设置为REQUIRED(必须使用 SSL)。
–ssl-mode REQUIRED(必须使用 SSL) 是MySQL8中最高安全级别,它要求客户端必须使用加密 SSL/TLS 连接到服务器,并验证服务器的身份。
而 --ssl-mode VERIFY_IDENTITY(验证身份) 不强制要求加密 SSL/TLS 连接,它仅检查并验证服务器证书,因此不如 --ssl-mode REQUIRED 安全。
这意味着 MySQL 客户端将试图建立 SSL 连接,并且如果无法建立 SSL 连接,则不会连接到 MySQL 服务器,从而确保只有通过 SSL 连接才能访问数据库。
详细解释如下:
- REQUIRED 要求所有 MySQL 客户端必须通过 TLS 密码套件建立与数据库服务器之间的连接,以提供最高级别的信任和安全性。。
- VERIFY_IDENTITY 选项要求 MySQL 客户端验证数据库服务器的身份,并持有与其授予一致的主机名或 IP 地址。但如果数据库服务器使用自签名证书,则可能会由于无法在公钥基础架构中下载到 CRL 和 OCSP 响应而交予妥协项,从而使校验变得不安全。
- PREFERRED 标志允许客户端建议并尝试进行 SSL 连接,但不需要建立 SSL 连接。如果 MySQL 客户端请求未加密连接时,服务器会回答该请求。
- VERIFY_CA 在服务器端上对客户端启用 SSL 协议,并确保 SSL 连接是在根证书颁发机构的颁发证书上建立的,而且客户端提供了匹配考验的专业证书,非常适合客户端软件的验信标准很高或者要求传输数据增强保护的情况。
MySQL 8自带证书的在/var/lib/mysql/下,证书说明如下:
| 证书名称 | 证书说明 |
|---|---|
| ca-key.pem | CA证书私钥文件,用于生成SSL连接所需的服务器和客户端证书。 |
| ca.pem | CA证书公钥文件,用于验证SSL连接中服务器和客户端证书的合法性。 |
| client-cert.pem | 客户端证书,在SSL连接中用于验证客户端的身份 |
| client-key.pem | 客户端证书的私钥,用于加密和解密SSL连接中客户端发送的数据。 |
| private_key.pem | 私钥文件,用于加密和解密SSL连接中的数据。 |
| public_key.pem | 公钥文件,用于验证SSL连接中的数据。 |
| server_cert.pem | 服务器证书,用于验证MySQL数据库服务器的身份。 |
| server_key.pem | 服务器证书的私钥,用于加密和解密SSL连接中服务器发送的数据。 |
2.2.2. 配置SSL用户
创建用户
-- 创建用户 CREATE USER username@'%' IDENTIFIED BY 'password'; -- 给用户授权 GRANT ALL ON *.* TO username@'%'; -- 应用权限配置 FLUSH PRIVILEGES; -- 查看用户权限 SELECT user,host,ssl_type,ssl_cipher FROM mysql.user;
创建用户强制证书认证
REQUIRE SSL 强制要求客户端使用 SSL/TLS加密协议与服务器进行通信
REQUIRE X509强制要求客户端不仅要使用 SSL/TLS连接,而且还需要提供一个有效的 x509证书。在使用 REQUIRE X509 时,MySQL 服务器会验证客户端提供的证书是否是受信任的,并且该证书是否匹配已经注册的用户帐户中的证书。
-- require ssl 强制用户使用证书认证 CREATE USER username@'%' IDENTIFIED BY 'password' require ssl; -- require x509 强制用户使用证书认证 CREATE USER username@'%' IDENTIFIED BY 'password' require x509;
2.2.3. SSL 登录
SSL加密登录方法1:
关闭ssl模式
# --ssl-mode=disable: 表示关闭SSL加密模式 mysql -uroot -p --ssl-mode=disable # 登录mysql后查看加密模式 mysql> status;
开启ssl模式
# --ssl-mode=required: 表示强制开启SSL加密模式 mysql -uroot -p --ssl-mode=required # 登录mysql后查看加密模式 mysql> status;
SSL加密登录方法2:
使用证书文件登录
# 指定CA证书及客户端证书及私钥 mysql -u root -p --ssl-ca=/var/lib/mysql/ca.pem --ssl-cert=/var/lib/mysql/client-cert.pem --ssl-key=/var/lib/mysql/client-key.pem
2.2.4. 相关操作
配置强制安全
编辑mysql配置文件(my.cnf)
[mysqld] require_secure_transport=ON
检查是否强制使用了 SSL/TLS:
SHOW VARIABLES LIKE 'require_secure_transport';
验证 SSL 配置
SHOW VARIABLES LIKE '%ssl%';
可以通过以下 SQL 查询确认 MySQL 是否支持 TLS:
SELECT * FROM performance_schema.tls_channel_status WHERE PROPERTY='Enabled';
查询MySQL支持的 TLS 版本:
SHOW GLOBAL VARIABLES LIKE 'tls_version';
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。