MySQL系列之远程管理(安全)

ZHOU西口2024-11-27 14:03

导览

前言

在我们的学习或工作过程中,作为开发、测试或运维人员,经常会通过各类客户端软件,远程登录MySQL数据库。作为DBA可能需要考虑这里容易出现的"纰漏"。比如在上篇文章(快捷入口)中,如果我们未设置保持登录的有效期,那么黑客可能会利用这个漏洞,进行数据窃听。

当然我们能想到的,在MySQL自身迭代的过程中,自然也会涉及。今天博主开始讲讲MySQL是如何做远程登录安全吧。

Q:如何保障远程登录安全

提示:本文示例均已MySQL5.7为例。

一、远程登录的主要方式

首先来看看MySQL支持哪些登录类型:

1. 用户名/口令

这是远程登录最常用的方式,只要提供主机、用户、密码即可,如下图所示:

提示:使用简单,但不安全。

2. SSH

通过SSH协议(Secure Shell)建立一个安全的加密通道,以Shell命令的方式访问远程数据库。此时数据库服务需要开通相关权限。

3. SSL/TLS

通过SSL协议登录数据库,实现安全访问。

二、使用TLS协议加密连接

本文主要介绍通过TLS协议加密远程连接。各位先试想一下,如未实现传输加密,结果会怎么样?

MySQL支持使用TLS(传输层安全)协议在客户端和服务器之间进行加密。TLS使用加密算法来确保通过公共网络接收到的数据是可信的。因此为实现加密,我们通常需要围绕以下几方面完成相关配置。

1. 服务端

在服务端,--ssl选项指定服务器允许但不需要加密连接。默认情况下启用此选项,因此不需要显式指定。如果需要客户端使用加密连接,必须在服务端启用变量:require_secure_transport

my.cnf文件中,进行如下定义:

powershell 复制代码 
[mysqld]
require_secure_transport=ON

在此基础上,指定以下配套变量:

powershell 复制代码 
[mysqld]
ssl_ca=CA证书公钥文件
ssl_cert=MySQL服务证书公钥文件
ssl_key=MySQL服务证书私钥文件

2. 客户端

默认情况下,如果服务器支持加密连接,MySQL客户端程序会尝试建立加密连接,并通过--ssl不同的模式加以控制:

  • --ssl mode=PREFERRED
    在没有--ssl模式选项的情况下,客户端会尝试使用加密进行连接,如果无法建立加密连接,则会退回到未加密的连接。这也是显式--ssl mode=PREFERRED选项的行为。
  • --ssl mode=REQUIRED
    客户端需要加密连接,如果无法建立连接,则会失败。
  • --ssl mode=DISABLED
    客户端使用未加密的连接。
  • --ssl mode=VERIFY_CA或VERIFY_IDENTITY
    客户端需要加密连接,还需要对服务器CA证书进行验证,并(使用VERIFY_IENTITY)对其证书中的服务器主机名进行验证。

提示

如果选择默认设置--ssl mode为PREFERRED时,将生成加密连接。但是,客户端验证服务器的身份非常重要,因此设置--ssl mode为VERIFY_CAVERIFY_IDENTITY是比默认选项更好的选择,它可以帮助防止复杂的中间人攻击。VERIFY_CA使客户端检查服务器的证书是否有效。VERIFY_IDENTITY使客户端检查服务器的证书是否有效,并使客户端检查客户端使用的主机名是否与服务器证书匹配。如满足该安全要求,你必须先确保服务器的CA证书对当前环境中使用它的所有客户端都是可靠的,否则将导致可用性问题。

客户端的以下选项(或连接参数)标识了客户端在与服务器建立加密连接时使用的证书和密钥文件。它们类似于服务器端使用的ssl_ca、ssl_cert和ssl_key系统变量,但--ssl-cert和--ssl-key标识客户端公钥和私钥:

powershell 复制代码 
--ssl-ca:CA证书公钥文件,必须与服务端CA证书一致
--ssl-cert:客户端证书公钥文件
--ssl-key:客户端证书私钥文件

为了提高安全性,客户端可以提供与服务端CA证书的相同CA证书,并启用主机名身份验证。通过这种方式,服务器和客户端将信任放在同一个CA证书上。客户端验证其连接的主机是否是预期的主机:

要指定CA证书,请使用--ssl-CA(或--ssl-capath),并指定--ssl-mode=VERIFY_CA。

要同时启用主机名身份验证,请使用--ssl mode=VERIFY_identity,而不是--ssl mode=VERIFY_CA。

如果要确定与服务器的当前连接是否使用加密,请检查ssl_cipher状态变量值:

sql 复制代码 
SHOW SESSION STATUS LIKE 'ssl_cipher';

如果该值为空,则连接未加密。否则,连接将被加密,该值表示加密密码。

结语

本文参考MySQL官方文章介绍了MySQL如何实现远程连接的安全性,包括一般配置建议。如对安全有更改的要求,可参考本文加以实践,欢迎关注。

走过的、路过的盆友们,点点赞,收收藏,并加以指导,以备不时之需哈~

精彩回放

MySQL系列之身份鉴别(安全)
MySQL系列之数据授权(privilege)
MySQL系列之如何在Linux只安装客户端
MySQL系列之如何正确的使用窗口函数(基于8.0版本)
MySQL系列之数据导入导出
MySQL系列之索引入门(上)
MySQL系列之索引入门(下)

相关推荐
焦糖布丁的午夜1 天前
MySQL数据库大王小练习
数据库·mysql
Tony Bai1 天前
Go 安全新提案:runtime/secret 能否终结密钥残留的噩梦?
java·开发语言·jvm·安全·golang
狗头实习生1 天前
Spring常见的事务失效原因
java·数据库·spring
冉冰学姐1 天前
SSM泰兴市公交信息系统f504u(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面
数据库·ssm 框架应用·泰兴市公交·息管理系统
阿杰学AI1 天前
AI核心知识38——大语言模型之Alignment(简洁且通俗易懂版)
人工智能·安全·ai·语言模型·aigc·ai对齐·alignment
偶像你挑的噻1 天前
3.Qt-基础布局以及事件
开发语言·数据库·qt
Dxy12393102161 天前
MySQL如何做读写分离架构
数据库·mysql·架构
cike_y1 天前
浅谈用docker搭建一个ctf镜像
运维·安全·网络安全·docker·容器·ctf
毕设十刻1 天前
基于Vue的考勤管理系统8n7j8(程序 + 源码 + 数据库 + 调试部署 + 开发环境配置),配套论文文档字数达万字以上,文末可获取,系统界面展示置于文末
前端·数据库·vue.js
合方圆~小文1 天前
不同画面,三个镜头实时监控拍摄方案
数据结构·数据库·人工智能
热门推荐
01GitHub 镜像站点02【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04UV安装并设置国内源05React CVE-2025-55182漏洞排查与修复指南06智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践07BongoCat - 跨平台键盘猫动画工具08Linux下V2Ray安装配置指南09本地部署阿里最新开源的Z-Image10从入门到实战:Gemini 3 使用指南速览