MYSQL 8.0 社区版的透明数据加密

已于 2024-08-06 09:41:08 修改
阅读量1k 收藏 24
点赞数 31
分类专栏: MySQL 文章标签: mysql community tde encryption keyring
于 2024-07-31 16:26:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stevensxiao/article/details/140788043
版权

和MySQL 5.0不同,MySQL 8.0 不再使用keyring插件,而是使用keyring component。这包括:

  • component_keyring_file
  • component_keyring_encrypted_file
  • component_keyring_oci

MySQL企业版支持所有3个,MySQL社区版只支持第一个,即component_keyring_file。本文测试的也是这个。

MySQL 5.0只支持表加密,而8.0还支持表空间加密。

keying component的安装参见这里

首先,component 文件必须位于 plugin_dir系统变量所指定的目录。

查看变量:

mysql> show variables like 'plugin_dir';
+---------------+--------------------------+
| Variable_name | Value                    |
+---------------+--------------------------+
| plugin_dir    | /usr/lib64/mysql/plugin/ |
+---------------+--------------------------+
1 row in set (0.00 sec)

可以看到,社区版的component_keyring_file已在其中:

$ ls -1 /usr/lib64/mysql/plugin/*keyring*
/usr/lib64/mysql/plugin/component_keyring_file.so
/usr/lib64/mysql/plugin/keyring_udf.so

接下来,keyring component的安装分为2步:

  1. 编写manifest文件,告知服务器要加载哪个密钥环组件。
  2. 为该密钥环组件编写一个配置文件。

manifest可以是全局的或本地的,但文件名必须是mysqld.my。

全局manifest 必须位于mysqld所在目录。

sudo -s

cd $(dirname `which mysqld`)

cat <<EOF > mysqld.my
{
  "components": "file://component_keyring_file"
}
EOF

对此文件,权限是有要求的:

Server access to a manifest file should be read only. For example, a mysqld.my server manifest file may be owned by root and be read/write to root, but should be read only to the account used to run the MySQL server (通常是mysql).

检查,发现满足要求:

# ls -l mysqld.my
-rw-r--r--. 1 root root 52 Jul 31 03:34 mysqld.my

然后,进行到下一步,为该密钥环组件编写一个配置文件。操作参考这里

密钥环组件配置文件可以是全局的或本地的,本例使用前者。配置文件的文件名前缀为组件名称,后缀为cnf,对于本例,其文件名为component_keyring_file.cnf。文件位置为component_keyring_file 库文件所在目录,即plugin_dir系统变量指定的位置。

sudo -s

cd /usr/lib64/mysql/plugin/

cat <<EOF > component_keyring_file.cnf
{
  "path": "/usr/local/mysql/keyring/component_keyring_file",
  "read_only": false
}
EOF

此配置文件的权限如下:

# ls -l component_keyring_file.cnf
-rw-r--r--. 1 root root 86 Jul 31 03:44 component_keyring_file.cnf

/usr/local/mysql/keyring/component_keyring_file是官方示例,但目录/usr/local/mysql目前还不存在。这个实验所耗费的时间大部分也是由此引起的。后面再详述。

先建立目录和文件,并赋权:

sudo -s

mkdir -p /usr/local/mysql/keyring
cd /usr/local/mysql/keyring
touch component_keyring_file
cd /usr/local
chown -R mysql:mysql mysql
chmod -R 751 mysql
chmod 640 mysql/keyring/component_keyring_file

目前keyring文件的权限为:

# ls -l mysql/keyring/component_keyring_file
-rw-r-----. 1 mysql mysql 0 Jul 31 06:38 mysql/keyring/component_keyring_file

如果此时试着加密表,则会失败:

mysql> alter table employees encryption = 'Y';
ERROR 3185 (HY000): Can't find master key from keyring, please check in the server log if a keyring is loaded and initialized successfully.

这个错误说的是读不到秘钥,但根本原因却是加密时自动生成的秘钥写入文件component_keyring_file失败。根本的原因在于SELinux。那么现在有三种解决方法:

  1. 使用setenforce 0将SELinux模式由enforcing改为permissive
  2. 将秘钥文件换到SELinux已经有权限的目录下,例如mysqld的数据目录,使用cat /etc/my.cnf|grep datadir查看
  3. 为当前秘钥所在的目录赋权

法1做演示可以,生产环境不建议;法2好些,但也不建议,因为数据和秘钥应分开放,如图锁和钥匙一样。
本例使用的是法3,具体参考MySQL数据库与SELinux文件权限设置
重启mysql:

$ sudo systemctl restart mysqld

登入数据库查看,完美,和文档描述一致:

mysql> SELECT * FROM performance_schema.keyring_component_status;
+---------------------+-------------------------------------------------+
| STATUS_KEY          | STATUS_VALUE                                    |
+---------------------+-------------------------------------------------+
| Component_name      | component_keyring_file                          |
| Author              | Oracle Corporation                              |
| License             | GPL                                             |
| Implementation_name | component_keyring_file                          |
| Version             | 1.0                                             |
| Component_status    | Active                                          |
| Data_file           | /usr/local/mysql/keyring/component_keyring_file |
| Read_only           | No                                              |
+---------------------+-------------------------------------------------+
8 rows in set (0.01 sec)

mysql> SELECT * FROM performance_schema.keyring_keys;
Empty set (0.00 sec)

-- 无需keyring plugin, 因为在8.0只需要keyring component
mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE 'keyring%';
Empty set (0.00 sec)

如果你的权限设置正确,那么此时,就可以加密表空间和表了。并且在首次加密时顺带生成了秘钥:

mysql> CREATE TABLESPACE `ts_emps` ADD DATAFILE 'ts_emps.ibd' ENCRYPTION = 'Y' Engine=InnoDB;
Query OK, 0 rows affected (0.02 sec)

或者,如果已有表空间,可以直接改为加密状态:

在这里插入代码片

然后,可以看到秘钥,然后再试一下单表加密:

mysql> SELECT * FROM performance_schema.keyring_keys;
+--------------------------------------------------+-----------+----------------+
| KEY_ID                                           | KEY_OWNER | BACKEND_KEY_ID |
+--------------------------------------------------+-----------+----------------+
| INNODBKey-9f93195b-4f06-11ef-918b-02001714986a-1 |           |                |
+--------------------------------------------------+-----------+----------------+
1 row in set (0.00 sec)

mysql> use employees;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed

mysql> alter table employees encryption = 'Y';
Query OK, 300024 rows affected (1.46 sec)
Records: 300024  Duplicates: 0  Warnings: 0

mysql> SELECT * FROM performance_schema.keyring_keys;
+--------------------------------------------------+-----------+----------------+
| KEY_ID                                           | KEY_OWNER | BACKEND_KEY_ID |
+--------------------------------------------------+-----------+----------------+
| INNODBKey-9f93195b-4f06-11ef-918b-02001714986a-1 |           |                |
+--------------------------------------------------+-----------+----------------+
1 row in set (0.00 sec)

参考这里,安装了keyring通用函数,但这不是必需的:

INSTALL PLUGIN keyring_udf SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_generate RETURNS INTEGER
  SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_fetch RETURNS STRING
  SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_length_fetch RETURNS INTEGER
  SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_type_fetch RETURNS STRING
  SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_store RETURNS INTEGER
  SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_remove RETURNS INTEGER
  SONAME 'keyring_udf.so';

数据库中可以看到这个插件:

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE 'keyring%';
+-------------+---------------+
| PLUGIN_NAME | PLUGIN_STATUS |
+-------------+---------------+
| keyring_udf | ACTIVE        |
+-------------+---------------+
1 row in set (0.01 sec)

然后可以用keyring自定义函数生成秘钥,之前的加密并未使用此处生成的秘钥:

mysql> SELECT keyring_key_generate('MyKey', 'AES', 128);
+-------------------------------------------+
| keyring_key_generate('MyKey', 'AES', 128) |
+-------------------------------------------+
|                                         1 |
+-------------------------------------------+
1 row in set (0.00 sec)

mysql> SELECT * FROM performance_schema.keyring_keys;
+--------------------------------------------------+----------------+----------------+
| KEY_ID                                           | KEY_OWNER      | BACKEND_KEY_ID |
+--------------------------------------------------+----------------+----------------+
| MyKey                                            | root@localhost |                |
| INNODBKey-9f93195b-4f06-11ef-918b-02001714986a-1 |                |                |
+--------------------------------------------------+----------------+----------------+
2 rows in set (0.00 sec)

最后,看一下秘钥文件中的内容:

$ sudo cat /usr/local/mysql/keyring/component_keyring_file
{"version":"1.0","elements":[{"user":"","data_id":"INNODBKey-9f93195b-4f06-11ef-918b-02001714986a-1","data_type":"AES","data":"EECBBFF2369418CCB2F8A5D82AA751DA3069DD58FBA1B233C396562FB4B189CE","extension":[]},{"user":"root@localhost","data_id":"MyKey","data_type":"AES","data":"E768E1CDCDAC14F5692AEF45039A198DA3E190D8FD48BC2AB3832DC1004460ECABE57C9090D536DD24F4C60EE66CBD83772411AA0A1C929B6DFA3F9D04C6BBBC01166188E0C10AB756C2051CEDA157300F2B7953D81BA75700A2167CEA6A18C69782227B9D9572C273B941F2B086BDD8F0139495A30AF69F85F22EEC0FAFDE52","extension":[]}]}

错误

如果没有权限写秘钥文件,则会遇到以下错误:

mysql> SELECT keyring_key_generate('MyKey', 'AES', 128);
ERROR 3188 (HY000): Function 'keyring_key_generate' failed because underlying keyring service returned an error. Please check if a keyring is installed and that provided arguments are valid for the keyring you are using.

2024-07-30T09:11:35.270688Z 8 [Note] [MY-013725] [Server] Component component_keyring_file reported: 'Error generating data for Data ID: 'MyKey', Auth ID: 'root@localhost'. Either data already exists with same identifier or keyring backend encountered an error.'

参考

  • https://dev.mysql.com/doc/refman/8.0/en/keyring-component-installation.html
  • https://dev.mysql.com/doc/refman/8.0/en/keyring-file-component.html
  • https://blogs.oracle.com/mysql/post/keyring-components
  • https://blogs.oracle.com/mysql/post/component-keyring-file
  • https://dev.mysql.com/doc/refman/8.4/en/keyring.html
  • https://stackoverflow.com/questions/37992813/logging-verbosity-mysql-5-7
  • https://dev.mysql.com/doc/refman/8.4/en/security.html
dingdingfish
关注
专栏目录
MySQL数据加密:保护敏感信息的安全
java专栏
08-29 4万+
通过本文的学习,你现在应该了解了如何在 MySQL 中使用内置的加密函数来加密数据,以及如何在应用程序层使用 PHP 进行数据加密。此外,我们也介绍了如何使用 MySQL透明数据加密 (TDE) 来加密整个数据库或表空间。这些方法都可以帮助你更好地保护敏感信息。记住,数据加密只是数据保护的一部分,还需要配合其他安全措施,例如强密码策略、定期的安全审计和更新等。希望这篇文章能对你有所帮助,保护好你的数据,让它们安全无忧!下次见啦!👋别忘了,数据安全是每个人都应该关心的大事哦!
数据安全加固:在MySQL中实现数据加密存储
最新发布
2401_85342379的博客
09-05 712
MySQL中实现数据加密存储是确保数据安全的重要步骤。通过透明数据加密、应用层加密和使用SSL/TLS保护数据传输,可以有效地保护数据免受未授权访问和泄露。同时,合理的密钥管理和性能优化也是确保加密系统有效运行的关键。希望本文的详细介绍能帮助你在MySQL中实现有效的数据加密存储策略。
深入解析数据透明加密技术
夜未眠风已息
03-30 3985
几种数据透明加密方式的总结
MySQL 数据加密
大黄鸭在发光的专栏
01-20 1402
mysql数据加密
mysql 加密 tde_[SQL Server] 利用透明数据加密(TDE)对整个数据加密
weixin_34238178的博客
01-27 980
using TDE encrypt SQL Database前言最近客户有需求想避免数据库(.mdf、.ldf)被偷走时,数据外泄流出刚好SQL Server的TDE加密功能满符合需求。TDE透明数据加密会对数据库整个加密,防范目标:有人已偷走数据库,没有凭证&私????的话,在附加数据库或还原备份数据库时就会报错,而没办法看到数据库里的数据。一般程序存取数据,或用SSMS进入SQL Serve...
mysql 透明加密 绿色_简单为mysql 实现透明加密方法
weixin_39871378的博客
01-27 129
一般用户在数据库中保存数据,虽然数据库存储的是二进制,无法直接明文打开查看,但是如果是一个外行人,直接连接进入mysql中,还是可以直接查看数据的。所以对于一些核心数据,特别是企业重要数据资产,一般会再增加一个透明加密数据安全保护,以避免一些无关人员直接获取重要信息。在O记里,就有专门的透明加密的功能模块,叫做Oracle Key Manager,感兴趣的童鞋可以去研究一下。众所周知,mysql...
MySQL TDE 透明数据加密 知识总结
一个标题
03-28 1614
MySQL TDE 透明数据加密 知识总结
mysql实现内容加密_简单为mysql 实现透明加密方法
weixin_35626308的博客
01-18 640
一般用户在数据库中保存数据,虽然数据库存储的是二进制,无法直接明文打开查看,但是如果是一个外行人,直接连接进入mysql中,还是可以直接查看数据的。所以对于一些核心数据,特别是企业重要数据资产,一般会再增加一个透明加密数据安全保护,以避免一些无关人员直接获取重要信息。在O记里,就有专门的透明加密的功能模块,叫做Oracle Key Manager,感兴趣的童鞋可以去研究一下。众所周知,mysql...
保护数据安全的必备措施——MySQL数据库免改造透明加密解决方案
www.andang.cn
05-11 614
MySQL数据透明加密解决方案基于安当TDE透明加密组件,提供了一种高效、安全的数据保护机制,帮助企业应对不断增长的数据安全挑战。
MySQL8.0.21.0社区安装教程(图文详解)
09-08
1. **下载MySQL8.0.21.0社区** - 访问MySQL官方网站,找到对应的下载页面。 - 选择“Download”选项,然后跳过订阅部分,点击“No thanks, just start my download.”开始下载MSI Installer。 2. **安装MySQL...
mysql 8.0 ocp 题库
06-10
MySQL 8.0 OCP(Oracle Certified Professional)是Oracle公司为MySQL数据库管理员提供的一项专业认证,旨在验证其在MySQL 8.0本中的管理和优化技能。这个题库包含了准备OCP考试所需的各种试题,帮助考生熟悉考试...
mysql-refman-8.0.zip
03-20
MySQL 8.0是当前广泛使用的开源关系型数据库管理系统(RDBMS)的最新本,提供了许多增强功能和改进,以提升性能、可扩展性和安全性。`mysql-refman-8.0.zip`压缩包文件包含了MySQL 8.0的官方参考手册,这是一份...
mysql8.0 windows本 下载
11-09
提供的文件“mysql-installer-community-8.0.31.0.msi”正是MySQL Installer的社区,可以从MySQL官方网站获取。 **三、安装步骤** 1. **运行安装程序**: 双击“mysql-installer-community-8.0.31.0.msi”,启动...
MySQL Community 8.0.19.0 msi安装包
11-16
1. **InnoDB存储引擎**:MySQL 8.0默认使用InnoDB作为主要的事务处理存储引擎,提供了行级锁定和ACID兼容性,确保数据的一致性和完整性。 2. **增强的性能**:8.0本引入了性能优化,如更快的查询处理、更高效的...
SQL Server安全(9/11):透明数据加密(Transparent Data Encryption
weixin_34104341的博客
04-06 290
在保密你的服务器和数据,防备当前复杂的攻击,SQL Server有你需要的一切。但在你能有效使用这些安全功能前,你需要理解你面对的威胁和一些基本的安全概念。这篇文章提供了基础,因此你可以对SQL Server里的安全功能充分利用,不用在面对特定威胁,不能保护你数据的功能上浪费时间。 从让人眼花缭乱的客户端使用连接,通过到处分布的网络,尤其是互联网,关系数据库在各种应用程序里广泛使用。这使数据...
MYSQL 5.7社区透明数据加密
In-Memory Computing Technology
07-31 629
本文讨论的是MySQL社区透明数据加密,不涉及企业本为什么选择5.7,因为MySQL社区是从5.7开始支持透明数据加密的。在本实验之前,我们已经成功安装了MySQL 5.7社区,并安装了示例schema。MySQL加密和Oracle是类似的,也是使用2层秘钥结构,一个master encryption key,一个tablespace keys。只不过MySQL不支持列加密,反正也不是主流。
mysql 透明加密 绿色_分享一款自己在用的不错的透明加密软件
weixin_31414801的博客
02-18 257
行为描述:探测 Virtual PC是否存在详情信息:N/A行为描述:跨进程写入数据详情信息:TargetProcess = C:\Users\ADMINI~1\AppData\Local\Temp\RarSFX1\install.exe, WriteAddress = 0x00150000, Size = 0x000005dc TargetPID = 0x00000c14 ...
mysql如何打码隐私数据列,如何在MySQL中使用透明数据加密
weixin_31620365的博客
01-19 230
I want to enable Transparent Data encryption (TDE) on MySQL. I don't mind if the entire db is encrypted (as opposed to a few columns or rows or tables). I am using this for a study, so I am looking fo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值