2. 程式人生 > >Mysql 5.7.18 加密連接mysql_ssl_rsa_setup 安裝 mysql證書登陸

Mysql 5.7.18 加密連接mysql_ssl_rsa_setup 安裝 mysql證書登陸

阿新 發佈:2017-07-18
nec 文件 利用 ls -l code 就會 比較 熱點 var

MySQL 5.7.18 下載地址: https://dev.mysql.com/get/Downloads/MySQL-5.7/mysql-5.7.18-linux-glibc2.5-x86_64.tar.gz

安裝步驟:http://www.cnblogs.com/imweihao/p/7196516.html

轉自:http://www.cnblogs.com/mysql-dba/p/7061300.html

   http://blog.csdn.net/tanweii163/article/details/50102769

一、SSL介紹

SSL(Secure Socket Layer:安全套接字層)利用數據加密、身份驗證和消息完整性驗證機制,為基於TCP等可靠連接的應用層協議提供安全性保證。

SSL協議提供的功能主要有:

1、數據傳輸的機密性:利用對稱密鑰算法對傳輸的數據進行加密。
2.、身份驗證機制:基於證書利用數字簽名方法對服務器和客戶端進行身份驗證,其中客戶端的身份驗證是可選的。
3、消息完整性驗證:消息傳輸過程中使用MAC算法來檢驗消息的完整性。

如果用戶的傳輸不是通過SSL的方式,那麽其在網絡中數據都是以明文進行傳輸的,而這給別有用心的人帶來了可乘之機。所以,現在很多大型網站都開啟了SSL功能。同樣地,在我們數據庫方面,如果客戶端連接服務器獲取數據不是使用SSL連接,那麽在傳輸過程中,數據就有可能被竊取。

二、

MySQL5.7 SSL啟用

1.登陸數據庫查看ssl是否開啟

mysql> show variables like ‘have_ssl‘;

技術分享

# have_ssl YES , 表示此時 MySQL 服務已經支持 SSL . 如果是 DESABLE, 則需要在啟動安裝mysql_ssl_rsa_setup 使其能支持SSL 功能

2.安裝mysql_ssl_rsa_setup

[[email protected] mysqldata]# service mysqld stop

[[email protected] mysql]# bin/mysql_ssl_rsa_setup

技術分享

[[email protected] mysql]# cd /data/mysqldata/

[[email protected] mysqldata]# chown -R mysql.mysql *.pem

[[email protected] mysql]# service mysqld restart

[[email protected] mysql]# cd /data/mysqldata/

[[email protected] mysqldata]# ls -lh *.pem

運行完命令mysql_ssl_rsa_setup後會發現數據目錄下多出了一些以pem結尾的文件,而這些文件就是開啟SSL連接所需要的文件

技術分享

3.啟動MySQL數據庫並查看變量是否發生改變:

mysql> show variables like ‘have_ssl‘;

技術分享

該參數表示MySQL服務器開啟了SSL功能

三、MySQL5.7 SSL配置

1.查看連接的方式,下圖表示沒有使用ssl連接

mysql> \s

技術分享

【註意】:如果用戶是采用本地localhost或者sock連接數據庫,那麽不會使用SSL方式了。

2.添加ssl參數到my.cnf配置文件

添加ssl參數到my.cnf配置文件

[mysqld]

ssl-ca=/opt/mysql01/data/ca.pem

ssl-cert=/opt/mysql01/data/client-cert.pem

ssl-key=/opt/mysql01/data/client-key.pem

[mysql]

ssl-ca=/opt/mysql01/data/ca.pem

ssl-cert=/opt/mysql01/data/client-cert.pem

ssl-key=/opt/mysql01/data/client-key.pem

3.客戶端連接

[[email protected] mysql]# bin/mysql -uroot -h 192.168.31.84 -p

最好使用遠程連接進行測試,localhost或者-S unix socket連接,這種有可能不會用ssl。

mysql> status

--------------

bin/mysql Ver 14.14 Distrib 5.7.9, for Linux (x86_64) using EditLine wrapper

Connection id: 10

Current database:

Current user: [email protected]

SSL: Cipher in use is DHE-RSA-AES256-SHA

Current pager: stdout

Using outfile: ‘‘

Using delimiter: ;

status中SSL中顯示Cipher in use,表明當前連接使用ssl

或者查看狀態Ssl_cipher也可以,Value不為空,表明客戶端連接啟用ssl

mysql> show status like ‘ssl_cipher‘;

+---------------+--------------------+

| Variable_name | Value |

+---------------+--------------------+

| Ssl_cipher | DHE-RSA-AES256-SHA |

+---------------+--------------------+

1 row in set (0.00 sec)

如果客戶不想使用ssl連接,可以在mysql連接參數中使用-ssl=0來禁用ssl連接,執行效果請自行使用status查看

mysql> bin/mysql -uroot -h 192.168.31.84 --ssl=0 -p

遠程連接結果需開啟root遠程連接,實際生產不建議使用root

mysql> GRANT ALL PRIVILEGES ON *.* TO [email protected]%‘ IDENTIFIED BY ‘123456‘ WITH GRANT OPTION;

mysql> flush privileges;

mysql> quit

強制某用戶必須使用SSL連接數據庫

#修改已存在用戶
mysql> ALTER USER [email protected]%‘ REQUIRE SSL;
				
#新建必須使用SSL用戶
mysql> grant select on *.* to [email protected]%‘ identified by ‘xxx‘ REQUIRE SSL;

#對於上面強制使用ssl連接的用戶,如果不是使用ssl連接的就會報錯,像下面這樣:

[[email protected] mysql] /usr/local/mysql/bin/mysql -udba -p -h10.126.xxx.xxx --ssl=0
				
Enter password: 

ERROR 1045 (28000): Access denied for user [email protected] (using password: YES)

四、未使用SSL和使用SSL安全性對比

【測試方式】在MySQL服務器端通過tshark抓包的方式來模擬竊取數據。驗證、對比未使用SSL和使用SSL兩者在安全性上有什麽不同?

1.未使用SSL情況:

在客戶端機器(10.126.126.161)上連接數據庫並進行insert操作,使用--ssl-mode=DISABLED關閉SSL

技術分享

同時在MySQL服務器端(10.126.126.160)上用tshark進行抓包:

技術分享

【結論】未使用SSL情況下,在數據庫服務器端可以通過抓包的方式獲取數據,安全性不高。

2.采用SSL情況:

在客戶端機器(10.126.126.161)上連接數據庫並進行insert操作,使用--ssl-mode=REQUIRED指定SSL

技術分享

同時在MySQL服務器端(10.126.126.160)上再次用tshark進行抓包:

技術分享

【結論】沒有抓到該語句,采用SSL加密後,tshark抓不到數據,安全性高。

五、使用SSL前後性能對比(QPS)

服務器配置:CPU:32核心 內存:128G 磁盤:SSD

為了盡量準確測試QPS,采用全內存查詢,因為我們線上熱點數據基本都在內存中;按照並發線程數分類:1線程、4線程、8線程、16線程、24線程、32線程、64線程;

技術分享

具體數據如下:

技術分享

從測試數據可以發現,開啟SSL後,數據庫QPS平均降低了23%左右,相對還是比較影響性能的。從SSL實現方式來看,建立連接時需要進行握手、加密、解密等操作。所以耗時基本都在建立連接階段,這對於使用短鏈接的應用程序可能產生更大的性能損耗,比如采用PHP開發。不過如果使用連接池或者長連接可能會好許多。

六、總結

1、MySQL5.7默認是開啟SSL連接,如果強制用戶使用SSL連接,那麽應用程序的配置也需要明確指定SSL相關參數,否則程序會報錯。

2、雖然SSL方式使得安全性提高了,但是相對地使得QPS也降低23%左右。所以要謹慎選擇:

2.1、對於非常敏感核心的數據,或者QPS本來就不高的核心數據,可以采用SSL方式保障數據安全性;

2.2、對於采用短鏈接、要求高性能的應用,或者不產生核心敏感數據的應用,性能和可用性才是首要,建議不要采用SSL方式;

Mysql 5.7.18 加密連接mysql_ssl_rsa_setup 安裝 mysql證書登陸

相關推薦

Mysql 5.7.18 加密mysql_ssl_rsa_setup 安裝 mysql證書登陸

nec 文件 利用 ls -l code 就會 比較 熱點 var MySQL 5.7.18 下載地址: https://dev.mysql.com/get/Downloads/MySQL-5.7/mysql-5.7.18-linux-glibc2.5-x86_64.tar

MySQL--5子查詢與小結

outer 比較運算符 limit 現在 order by select date ner 多表刪除 子查詢:出現在其他sql語句中的 SELECT,必須出現在小括號內,子查詢外層可以是常見的SELECT語句,INSERT語句 UPDATE語句 DELETE語句,在子查詢中

win7安裝mysql-5.7.18

wind7;安裝mysql-5-7-181、到mysql官網下載mysql5.7.18-win64.zip(當前最新版本),並解壓。https://dev.mysql.com/downloads/windows/installer/5.7.html 2、解壓到windows的盤符中,這裏我放到了E盤的mysq

Windows 安裝 MySQL 5.7.18

star img 管理 code 想要 成功 安裝 ica 修改密碼 1. 在MySQL官網 http://dev.mysql.com/downloads/mysql/ 上面下載ZIP安裝包(第二個:Windows (x86, 64-bit), ZIP Archive)。

mysql-5.7.18-win32- 免安裝 win7 32 安裝記錄

dir 完整 安裝 brush welcome 客戶端 utf8 但是 賬號 1-從www.mysql.com官網下載 免安裝版,zip後綴 2-解壓後,修改文件夾名稱mysql【優化下名稱,方便記憶】,並剪切到C根目錄下 3-在安裝根目錄mysql下建立空文件夾data,

CentOS 6.6 源碼編譯安裝MySQL-5.7.18

gre 選擇 nbsp 修改root密碼 mysql- led init.d password logs 一、添加用戶和組 1.添加mysql用戶組 # groupadd mysql 2.添加mysql用戶 # useradd -g mysql -s /bin/

mysql-5.7.18版本(二進制包安裝)-自定義安裝路徑

mysql linux lnmp mysql-5.7.18版本(二進制包安裝)-自定義安裝路徑安裝路徑:/application/mysql-5.7.181.前期準備mysql依賴libaioyum install -y libaio創建用戶mysql,以該用戶的身份執行mysqluseradd

centos 7.3 安裝 mysql-5.7.18-linux-glibc2.5-x86_64

centos 7.3 安裝 mysql5.7 下載地址 :https://dev.mysql.com/get/Downloads/MySQL-5.7/mysql-5.7.18-linux-glibc2.5-x86_64.tar.gz 大概有600M 可以選擇迅雷下載然後進行上傳 ,因為是內網

MySQL 5.7.18 zip版本的安裝使用方法

系統服務 系統 javascrip sta idt sse assets ini文件 mark MySQL 5.7.18 zip版本的安裝使用方法 這個版本的MySQL不像那種點擊就可以立即安裝,一直下一步就OK的,這個需要自己進行配置,雖然有點小麻煩,我還是比較喜歡使用

MySQL 5.7.18 在centos下安裝記錄

iba entos tool 鏈接 ready res data vim mysq 一個朋友找我如何在Linux下安裝mysql5.7.18,我稍微整理下了下記錄,如下: 下載地址: MySQL5.7.18參數官方網址:https://dev.mysql.com/doc/r

centos6.5編譯調試mysql-5.7.18

console basedir enable resolv store name 操作 enabled edi 下載mysql-community-5.7.18-1.el6.src.rpm # rpm -ivh mysql-community-5.7.18-1.el6.

MySQL 5.7.18忘記密碼和密碼過期解決

重啟 my.cnf sch mat input gis cli res names 一、忘記密碼解決 [root@linux-node2 ~]# /etc/init.d/mysqld stop [root@linux-node2 ~]# mysqld_safe --skip

主主CMAKE編譯Mysql-5.7.18安裝

linux 7.2 下先安裝當前的包 mysql-5.1.18的安裝 先解除安裝mariadb資料庫 #rpm -qa|grep mariadb #rpm -e --nodeps mariadb-libs ,server,client bison安裝包,libaio安裝包,gcc-c安裝

Mysql 5.7.18 原始碼包安裝

1.用rz上傳mysql-5.7.18-linux-glibc2.5-x86_64.tar.gz到/mysql目錄下,並解壓 [[email protected] mysql]tar -zxvf mysql-5.7.18-linux-glibc2.5-x86_64.tar.gz 2

centos7安裝mysql-5.7.18-1.el7.x86_64.rpm-bundle.tar

本來不準備寫這個的,網上太多了,但是情況各有區別,我沒有發現一篇我能照著安裝成功。經過一番折騰,終於安裝完了。 一、首先到官網下載吧: https://dev.mysql.com/downloads/file/?id=469456 二、解壓: #tar -xvf mysql-5.7.

mysql 5.7.18 原始碼安裝筆記

之所以貼出這樣一篇筆記呢?主要是因為很久之前,原始碼安裝MySQL的時候,碰到了太多太多的坎坷。 如果你有興趣進行原始碼安裝,那麼請不要以這篇文章為標準,因為每個人的及其環境等其他因素還是差距比較大的。 但可以作為一篇流程參考文件,其中的坑點總結,希望能幫助大家繞過一些不

MySQL 5.7.18 zip 檔案安裝過程

安裝最新MySQL:5.7.18 1.下載路徑 https://dev.mysql.com/downloads/mysql/ 有賬號登陸下載, 沒有賬號:no thanks;just start my download 2.解壓放到指定盤中  筆者:D:\

mysql-5.7.18-winx64安裝步驟

第一步: D:\MartinDong\MySQL\Software\mysql-5.7.18-winx64\mysql-5.7.18-winx64\bin>mysqld install Service successfully installed. 第二步:

mysql 5.7.18 Can't change dir to引發的一系列問題(初始化data、改root密碼)

c:\program files\mysql\Mysql Server 5.7\bin\mysqld –console 會報錯: mysqld: Can’t change dir to ‘c:\Program Files\MySQL\MySQL Server

mysql 5.7.18 winx64安裝配置方法

在mysql-5.7.18-winx64資料夾下新建my.ini檔案 [mysql] # 設定mysql客戶端預設字符集 default-character-set=utf8 [mysqld] #設定3306埠 port = 3306 # 設定mysql的安裝目錄