MYSQL8安全之SSL认证

MYSQL8安全之SSL认证

• SSL概念
• MYSQL实现SSL的流程
• MYSQL配置SSl

• * 0、SSL策略
  

  • 1、创建证书
  • 2、配置SSL证书

  •   * 检查状态
    

  • 3、配置SSL用户

  •   * 创建用户普通认证方式
    

    • 创建用户强制证书认证
    • 设置用户强制证书登录
  • 4、SSL登录

  •   * SSL加密登录方法1；
    

    • SSL加密登录方法2:

SSL概念

SSL(Secure Socket Layer: 安全套接字) 利用数据加密，身份验证和消息完整性验证机制，为基于TCP等可靠连接的应用层协议。
SSL协议提供的功能主要有：

1. 数据传输的机密性；利用对称密钥算法对传输的数据进行加密
2. 身份验证机制：基于证书利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份验证是可选的
3. 消息完整性验证：消息传输过程中使用MAC算法来校验消息的完整性。

如果用户的传输不是通过SSL的方式，那么其在网络中数据都是以明文进行传输的。

在数据库方面，客户端连接服务器使用SSL连接，能加密通信数据。

1. 启用 SSL：可以在 MySQL 配置文件中启用 SSL，需要指定 SSL 证书、私钥和 CA 证书的路径。
2. SSL 握手验证：MySQL 8 支持 SSL 握手验证，可以确保客户端连接到正确的服务器。
3. SSL 客户端认证：MySQL 8 支持客户端证书认证，可以进一步增强安全性。
4. SSL 连接限制：可以通过修改 MySQL 配置文件中的参数来限制 SSL 连接的最大数量和连接的最大并发数。

总的来说，MySQL 8 的 SSL 功能可以帮助用户更安全地管理数据库，提高数据安全性。

MYSQL实现SSL的流程

1. 先为MYSQL服务器创建SSL证书和私钥
2. 在MYQL里面配置SSL，并启动服务
3. 创建用户的时候带上SSL标签(require ssl)
4. 连接数据库的时候带上SSL

MYSQL配置SSl

1. 手工配置：mysql5.7.6以下版本只能手工配置
2. 自动配置：mysql5.7.6以上版本支持自动配置

0、SSL策略

--ssl-mode 是 MySQL 命令行客户端的一个选项，用于指定 SSL/TLS 连接的模式。

它有四个可能的值：

• DISABLED：禁用 SSL
• REQUIRED：必须使用 SSL
• VERIFY_CA：验证CA
• VERIFY_IDENTITY：验证身份

在连接到远程 MySQL 服务器时，需要保护敏感信息和数据的安全性，因此应使用 SSL 来加密通信。
而为了提供最高级别的信任和安全性，应将--ssl-mode 设置为REQUIRED。
--ssl-mode REQUIRED 是MySQL8中最高安全级别，它要求客户端必须使用加密 SSL/TLS
连接到服务器，并验证服务器的身份。
而 --ssl-mode VERIFY_IDENTITY 不强制要求加密 SSL/TLS 连接，它仅检查并验证服务器证书，因此不如 --ssl-mode REQUIRED 安全。
这意味着 MySQL 客户端将试图建立 SSL 连接，并且如果无法建立 SSL 连接，则不会连接到 MySQL 服务器，从而确保只有通过 SSL
连接才能访问数据库。

详细解释如下：

• REQUIRED 要求所有 MySQL 客户端必须通过 TLS 密码套件建立与数据库服务器之间的连接,以提供最高级别的信任和安全性。。

• VERIFY_IDENTITY 选项要求 MySQL 客户端验证数据库服务器的身份，并持有与其授予一致的主机名或 IP 地址。但如果数据库服务器使用自签名证书，则可能会由于无法在公钥基础架构中下载到 CRL 和 OCSP 响应而交予妥协项，从而使校验变得不安全。

• PREFERRED 标志允许客户端建议并尝试进行 SSL 连接，但不需要建立 SSL 连接。如果 MySQL 客户端请求未加密连接时，服务器会回答该请求。

• VERIFY_CA 在服务器端上对客户端启用 SSL 协议，并确保 SSL 连接是在根证书颁发机构的颁发证书上建立的，而且客户端提供了匹配考验的专业证书，非常适合客户端软件的验信标准很高或者要求传输数据增强保护的情况。

1、创建证书

# 安装openssl依赖包
dnf install -y openssl

# 查看openssl版本
openssl version

![image.png](https://img-
blog.csdnimg.cn/img_convert/d3b306b5472395c7cc9c952832bb1f91.png#averageHue=#2a2a2a&clientId=u17fa661b-89f4-4&from=paste&height=63&id=uc0a81c15&originHeight=126&originWidth=484&originalType=binary&ratio=2&rotation=0&showTitle=false&size=33406&status=done&style=none&taskId=u5d67a828-bcc9-4167-84cb-f62cdd49566&title=&width=242)

# 生成SSL连接所需要的RSA密钥对
## datadir 指定数据库文件鹿筋
## user和uid 指定运行mysql_ssl_rsa_setup命令的用户
mysql_ssl_rsa_setup --datadir=/var/lib/mysql --user=mysql --uid=mysql

# 默认执行即可
mysqld_ssl_rsa_setup

## -vvv 详细，debug模式

![image.png](https://img-
blog.csdnimg.cn/img_convert/c67349969b888cd3b5f93493f27aaac3.png#averageHue=#030401&clientId=u17fa661b-89f4-4&from=paste&height=553&id=u346d4972&originHeight=1106&originWidth=2268&originalType=binary&ratio=2&rotation=0&showTitle=false&size=1651529&status=done&style=none&taskId=ucc4da1f9-fdaf-46bc-a915-e29478067cb&title=&width=1134)
会自动在datadir目录下创建下面的证书文件

• ca-key.pem：CA证书私钥文件，用于生成SSL连接所需的服务器和客户端证书。
• ca.pem：CA证书公钥文件，用于验证SSL连接中服务器和客户端证书的合法性。
• client-cert.pem：客户端证书，在SSL连接中用于验证客户端的身份。
• client-key.pem：客户端证书的私钥，用于加密和解密SSL连接中客户端发送的数据。
• private_key.pem：私钥文件，用于加密和解密SSL连接中的数据。
• public_key.pem：公钥文件，用于验证SSL连接中的数据。
• server_cert.pem：服务器证书，用于验证MySQL数据库服务器的身份。
• server_key.pem：服务器证书的私钥，用于加密和解密SSL连接中服务器发送的数据。

2、配置SSL证书

https://blog.csdn.net/Sn_Keys/article/details/126425869

[mysqld]
# 指定CA证书公钥文件的路径
ssl-ca=/path/to/ca.pem
# 指定mysql服务器证书的路径
ssl-cert=/path/to/server_cert.pem
# 指定mysql服务器证书的私钥路径
ssl-key=/path/to/server_key.pem


[client]
# 指定CA证书公钥文件的路径
ssl-ca=/path/to/ca.pem
# 指定mysql客户端证书的路径
ssl-cert=/path/to/client_cert.pem
# 指定mysql客户端证书的私钥路径
ssl-key=/path/to/client_key.pem

重启mysql服务

# 重启mysql服务
systemctl restart mysqld

检查状态

-- 检查数据库是否启用SSL
show variables LIKE 'have_SSl';

![image.png](https://img-
blog.csdnimg.cn/img_convert/4520cd0cbcf032b72dc3204d0d210ef3.png#averageHue=#040a02&clientId=u17fa661b-89f4-4&from=paste&height=182&id=u40d75e5d&originHeight=364&originWidth=926&originalType=binary&ratio=2&rotation=0&showTitle=false&size=280226&status=done&style=none&taskId=ub5b486bc-0b99-4480-8f7f-70eccb33e48&title=&width=463)

-- 查看全局变量中包含"SSL"字符的所有变量名和值
show global variables LIKE '%SSL%';

-- 查看tls安全传输版本
show global variables LIKE 'tls_version';

从 MySQL5.7.35 开始，不推荐使用 TLSv1 和 TLSv1.1 连接协议
![image.png](https://img-
blog.csdnimg.cn/img_convert/1ee4462640c741f5fa44e3bb6ac8916a.png#averageHue=#2c3038&clientId=u17fa661b-89f4-4&from=paste&height=142&id=u60246783&originHeight=284&originWidth=894&originalType=binary&ratio=2&rotation=0&showTitle=false&size=106006&status=done&style=none&taskId=ue3bc98e7-608c-4c16-b2aa-2d2cf7212df&title=&width=447)

3、配置SSL用户

创建用户普通认证方式

-- 创建用户
CREATE USER 用户名@'%' IDENTIFIED BY '表名';

-- 给用户授权
GRANT ALL ON *.* TO 用户名@'%';

-- 应用权限配置
FLUSH PRIVILEGES;

-- 查看用户权限
SELECT user,host,ssl_type,ssl_cipher FROM mysql.user;

创建用户强制证书认证

REQUIRE SSL 强制要求客户端使用 SSL/TLS加密协议与服务器进行通信
REQUIRE X509强制要求客户端不仅要使用 SSL/TLS连接，而且还需要提供一个有效的 x509证书。在使用 REQUIRE X509 时，MySQL 服务器会验证客户端提供的证书是否是受信任的，并且该证书是否匹配已经注册的用户帐户中的证书。

-- require ssl 强制用户使用证书认证
CREATE USER 用户名@'%' IDENTIFIED BY '表名' require ssl;

-- require x509 强制用户使用证书认证
CREATE USER 用户名@'%' IDENTIFIED BY '表名' require x509;

![image.png](https://img-
blog.csdnimg.cn/img_convert/8b2ccbd0418cb4a8612f522bf027ed0f.png#averageHue=#24240c&clientId=u17fa661b-89f4-4&from=paste&height=53&id=u6b8cbfcc&originHeight=106&originWidth=1348&originalType=binary&ratio=2&rotation=0&showTitle=false&size=101959&status=done&style=none&taskId=uc5fd447c-0e3c-4f38-9998-ebc91d947f1&title=&width=674)

-- 给用户授权
GRANT ALL ON *.* TO 用户名@'%';

-- 应用权限配置
FLUSH PRIVILEGES;

-- 查看用户权限
SELECT user,host,ssl_type,ssl_cipher FROM mysql.user;

![image.png](https://img-
blog.csdnimg.cn/img_convert/403e15efc897dee9dd226133804a3665.png#averageHue=#040503&clientId=u17fa661b-89f4-4&from=paste&height=465&id=uec857bf3&originHeight=930&originWidth=1914&originalType=binary&ratio=2&rotation=0&showTitle=false&size=750957&status=done&style=none&taskId=u09e6673e-ffd8-40a6-a40b-9b15fdecb65&title=&width=957)

设置用户强制证书登录

-- 设置强制ssl
alter user user0001@'%' require ssl;

-- 取消强制ssl
alter user user0001@'%' require none; 

4、SSL登录

SSL加密登录方法1；

# --ssl-mode=disable: 表示关闭SSL加密模式
mysql -uroot -p --ssl-mode=disable

# 登录mysql后查看加密模式
mysql> status;

![image.png](https://img-
blog.csdnimg.cn/img_convert/f3ac5b67b921487aee84e053868400be.png#averageHue=#020201&clientId=u17fa661b-89f4-4&from=paste&height=235&id=u150d2ac3&originHeight=470&originWidth=1674&originalType=binary&ratio=2&rotation=0&showTitle=false&size=436991&status=done&style=none&taskId=ua368f62b-86a1-4eab-9f1d-83d9b8cdd7b&title=&width=837)

# --ssl-mode=required: 表示强制开启SSL加密模式
mysql -uroot -p --ssl-mode=required

![image.png](https://img-
blog.csdnimg.cn/img_convert/2ebd4b06bba25edddd49b301b9ec34e2.png#averageHue=#093a0a&clientId=u17fa661b-89f4-4&from=paste&height=99&id=ue71116f7&originHeight=198&originWidth=1442&originalType=binary&ratio=2&rotation=0&showTitle=false&size=280316&status=done&style=none&taskId=u267336f6-5895-4747-85cf-9d1e7c8c02b&title=&width=721)

-- 登录mysql后查看加密模式
status;

![image.png](https://img-
blog.csdnimg.cn/img_convert/cca6892a420fe7f7beccfc68421e45f3.png#averageHue=#020201&clientId=u17fa661b-89f4-4&from=paste&height=261&id=uc6950f62&originHeight=522&originWidth=1642&originalType=binary&ratio=2&rotation=0&showTitle=false&size=547523&status=done&style=none&taskId=u38b42274-2f56-4fd7-8310-9bc61d21862&title=&width=821)

SSL加密登录方法2:

![image.png](https://img-
blog.csdnimg.cn/img_convert/7559917e86ef15e4ea0245afa995f46d.png#averageHue=#f7f7f6&clientId=u17fa661b-89f4-4&from=paste&height=175&id=u921e8295&originHeight=350&originWidth=804&originalType=binary&ratio=2&rotation=0&showTitle=false&size=234896&status=done&style=none&taskId=u983cd8a7-4372-4a5d-9a30-33d20142a59&title=&width=402)

# 指定CA证书及客户端证书及私钥
mysql -uroot -p --ssl-ca=/var/lib/mysql/ca.pem \
--ssl-cert=/var/lib/mysql/client-cert.pem \
--ssl-key=/var/lib/mysql/client-key.pem

![image.png](https://img-
blog.csdnimg.cn/img_convert/5395f50c622d0498117e9538a5a061ad.png#averageHue=#f4f3f3&clientId=u17fa661b-89f4-4&from=paste&height=709&id=ud732abe2&originHeight=1418&originWidth=1236&originalType=binary&ratio=2&rotation=0&showTitle=false&size=690909&status=done&style=none&taskId=ub23c97eb-f301-4771-9fd3-96ee382df05&title=&width=618)

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！