基于SSL实现MySQL的加密主从复制

最新推荐文章于 2023-11-17 14:21:45 发布
最新推荐文章于 2023-11-17 14:21:45 发布
阅读量2.3k 收藏
点赞数
分类专栏: mysql 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012974916/article/details/53316758
版权

大家都知道MySQL的主从复制是明文传输的,这对一些特殊业务来说是不允许的,下面来尝试构建基于SSL的主从复制

环境:RHEL5.8 SELinux关闭,iptables关闭,MySQL 5.5.28-i686 tar包初始化安装(非编译)
规划: 
 
 
  1. master: 172.16.1.18  master.laoguang.me 
  2. slave:  172.16.1.19  slave.laoguang.me 
准备工作:hostname与规划一致,配置/etc/hosts做好解析,时间要同步,过程不再赘述,见 http://laoguang.blog.51cto.com/6013350/1073891,mysql安装见 http://laoguang.blog.51cto.com/6013350/1039208,数据目录为/data/mydata
一.在master上配置CA服务器,并为master,slave颁发证书
1.1 master建立CA服务器,过程见 http://laoguang.blog.51cto.com/6013350/1035608
1.2 master的MySQL证书申请 
  
  
  1. mkdir /data/mydata/ssl 
  2. cd /data/mydata/ssl 
  3. openssl genrsa 1024 > mysql.key 
  4. openssl req -new -key mysql.key -out mysql.csr -days 3650
  5.   ##接下来的输入与建立CA时的一致,common name为master.laoguang.me 
  6. openssl ca openssl ca -in mysql.csr -out mysql.crt ##为MySQL签证 
  7. cp /etc/pki/CA/cacert.pem .  ##将CA的证书也拷过来 
  8. chown mysql:mysql * 
  9. chmod 600 * 
1.3 slave上申请证书 
  
  
  1. mkdir /data/mydata/ssl 
  2. cd /data/mydata/ssl 
  3. openssl genrsa 1024 > mysql.key 
  4. openssl req -new -key mysql.key -out mysql.csr -days 3650
  5. ##接下来的输入与建立CA时的一致,common name为slave.laoguang.me 
  6. scp mysql.csr master:/root 
1.4 master上为slave签发 
  
  
  1. cd /root 
  2. openssl ca -in mysql.csr -out mysql.crt 
  3. scp mysql.crt slave:/data/mydata/ssl 
  4. scp /etc/pki/CA/cacert.pem slave:/data/mydata/ssl 
1.5 slave上更改权限与属主 
  
  
  1. chown mysql:mysql mysql.* 
  2. chmod 600 mysql.* 
二.Master上编缉/etc/my.cnf启用ssl, 并设置主从
2.1 修改/etc/my.cnf 
  
  
  1. [mysqld] 
  2. log-bin=mysql-bin 
  3. sync_binlog     = 1                  ##二进制日志 
  4. server-id       = 1                  ##此id必须全局唯一 
  5. innodb_flush_log_at_trx_commit=1    ##每秒将事务日志立刻刷写到磁盘 
  6. ssl                     ##启用ssl默认是不开启的,mysql中show variables like '%ssl%'查看 
  7. ssl_ca =/data/mydata/ssl/cacert.pem  ##ca文件的位置 
  8. ssl_cert= /data/mydata/ssl/mysql.crt ##证书文件的位置 
  9. ssl_key = /data/mydata/ssl/mysql.key ##私钥文件的位置 
2.2 启动mysql,并查看ssl信息 
  
  
  1. service mysqld start 
  2. mysql 
  3. mysql> show variables like '%ssl%'; 
  4. +---------------+-----------------------------+ 
  5. | Variable_name | Value                       | 
  6. +---------------+-----------------------------+ 
  7. | have_openssl  | YES                         | 
  8. | have_ssl      | YES                         | 
  9. | ssl_ca        | /data/mydata/ssl/cacert.pem | 
  10. | ssl_capath    |                             | 
  11. | ssl_cert      | /data/mydata/ssl/mysql.crt  | 
  12. | ssl_cipher    |                             | 
  13. | ssl_key       | /data/mydata/ssl/mysql.key  | 
  14. +---------------+-----------------------------+ 
2.3 为同步建立一最小权限账户,并要求ssl 
  
  
  1. mysql> create user 'backup_ssl'@'172.16.1.19' identified by 'redhat'; 
  2. mysql> revoke all privileges,grant option from 'backup_ssl'@'172.16.1.19'; 
  3. mysql> grant replication slave,replication client on *.* to 'backup_ssl'@'172.16.1.19' require ssl; 
  4. mysql> flush privileges; 
三.Slave上编缉/etc/my.cnf,启用ssl,并设置主从
3.1 编缉/etc/my.cnf 
  
  
  1. [mysqld] 
  2. server-id       = 2                  ##此id必须全局唯一 
    ##log-bin = mysql-bin                ##注释掉,从服务器不需要二进制日志
  3. relay-log = mysql-ralay              ##中继日志 
  4. relay-log-index = mysql-ralay.index  ##中继目录 
  5. read-only = 1                        ##从服务器只读
  6. ssl                          ##启用ssl默认是不开启的,mysql中show variables like '%ssl%'查看 
  7. ssl_ca =/data/mydata/ssl/cacert.pem  ##ca文件的位置 
  8. ssl_cert= /data/mydata/ssl/mysql.crt ##证书文件的位置 
  9. ssl_key = /data/mydata/ssl/mysql.key ##私钥文件的位置 
3.2 启用mysqld并查看ssl相关信息 
  
  
  1. servie mysqld start 
  2. mysql> show variables like '%ssl%'; 
  3. +---------------+-----------------------------+ 
  4. | Variable_name | Value                       | 
  5. +---------------+-----------------------------+ 
  6. | have_openssl  | YES                         | 
  7. | have_ssl      | YES                         | 
  8. | ssl_ca        | /data/mydata/ssl/cacert.pem | 
  9. | ssl_capath    |                             | 
  10. | ssl_cert      | /data/mydata/ssl/mysql.crt  | 
  11. | ssl_cipher    |                             | 
  12. | ssl_key       | /data/mydata/ssl/mysql.key  | 
  13. +---------------+-----------------------------+ 
3.3 启动slave同步进程,连接主服务器 
  
  
  1. mysql> change master to  
  2.     -> master_host='172.16.1.18'
  3.     -> master_user='backup_ssl'
  4.     -> master_password='redhat'
  5.     -> master_log_file='mysql-bin.000001'
  6.     -> master_ssl=1
  7.     -> master_ssl_ca='/data/mydata/ssl/cacert.pem'
  8.     -> master_ssl_cert='/data/mydata/ssl/mysql.crt'
  9.     -> master_ssl_key='/data/mydata/ssl/mysql.key'
  10. mysql> start slave 
  11. mysql> show slave status\G; ##查看slave状态 
关注以下参数: 
  
  
  1. Slave_IO_Running: Yes      ##IOthread是否运行,如果为No代表slave运行不正常 
  2. Slave_SQL_Running: Yes     ##SQLthread是否运行,如果为No代表slave运行不正常 
  3. Master_SSL_CA_File: /data/mydata/ssl/cacert.pem  ##是否启用了ssl 
  4. Master_SSL_Cert: /data/mydata/ssl/mysql.crt 
  5. Master_SSL_Key: /data/mydata/ssl/mysql.key 
  6. Master_Log_File: mysql-bin.000023                ##最后接收的主服务器的二进制 
  7. Exec_Master_Log_Pos: 1087                        ##最后执行的位置,查看master中是不是该位置 
  8. Last_IO_Errno: 0                                 ##最后一次IOthread有没有报错 
如果与上图累似,slave基本正常,下面测试
四.测试
4.1 主服务器上建立一数据库 
  
  
  1. mysql> create database testssl; 
4.2 从服务器上查看有没有同步过去 
  
  
  1. mysql> show databases; 
如果同步成功,说明没有错误
4.3 从服务器mysql基于ssl连接主服务器,查看连接状态是否加密 
  
  
  1. mysql -ubackup_ssl -predhat -h172.16.1.18 --ssl-cert=/data/mydata/ssl/mysql.crt \
  2. --ssl-key=/data/mydata/ssl/mysql.key 
查看连接状态 
  
  
  1. mysql> status; 
  2. Current user:       backup_ssl@slave.laoguang.me 
  3. SSL:            Cipher in use is DHE-RSA-AES256-SHA 
由此可知连接是加密的,可以用tcpdump抓包测试
到此基于SSL的mysql主从同步构建完毕,如果你的从服务器是新加的,先将主服务器最近一次的完整备份恢复到从服务器,并从同步完整备份后的二进制日志,即change master时添加master_log_op=n, n代表完整备份后的二进制位置,其它的基本一致。
 
后记:今天尝试只给slave签发证书,master拥有有CA的证书,理论上应该能成功的,不过就是连接不上,所以暂时放弃,然后尝试master的证书名字为master.crt,slave的证书为slave.crt结果也连不上,后来google,把master与slave的证书,私钥都叫mysql.crt,mysql.key才得以完成,有了解的人说明一下,单证书为何不行,两个证书名称不一致也不行在原因,感谢!
倾听雨落-harry
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于SSL加密MySQL主从复制
12-18
MySQL主从复制中,其传输过程是明文传输,并不能保证数据的安全性,在编译安装Mysql时,基本上都会加上一个 --with-openssl这样的选项,即表示支openssl加密传输协议,因此就可以为mysql配置基于ssl加密传输
MySQL基于SSL协议进行主从复制的详细操作教程
12-16
mysql跨越互联网进行复制时别人可以窃取到mysql的复制信息,这些信息是明文的,因此存在不安全性,这里通过ssl对复制的信息进行加密。当在客户没有固定ip而要访问服务器时,mysql要允许任意地址的访问,服务端和...
MySQL加密复制
weixin_33726313的博客
10-18 105
MySQL 转载于:https://blog.51cto.com/13878078/2301675
mysql 主从复制加密ssl
qq_41650397的博客
07-24 1453
看了好几个博客,也参考了别人的文档 ,排了好多坑。总算是做出来了 总结一下步骤: 1,下载openssl 2,生成CA机构,生成证书。 3,对mysql 的master,slave生成对应的证书,密钥 4,修改mysql的配置文件 5,对服务器进行ssl登陆的检测 6,进行主从复制 一,生成CA机构和自签证书 #yum -y in...
mysql加密复制_MySQL/MariaDB数据库的复制加密
weixin_39983563的博客
01-19 113
[root@node103.yinzhengjie.org.cn ~]# mysqlWelcome to the MariaDB monitor. Commands end with ; or \g.Your MariaDB connectionid is 2Server version:5.5.64-MariaDB MariaDB ServerCopyright (c)2000, 2018, ...
mysql加密复制_MySQL主从复制使用SSL加密
weixin_32467749的博客
02-08 92
一、准备证书文件1.生成CA自签名证书mkdir /etc/my.cnf.d/sslcd /etc/my.cnf.d/sslopenssl genrsa 2048 > cakey.pemchmod 600 cakey.pemopenssl req -new -x509 -key cakey.pem -days 3650 -out cacert.pem2.生成master私钥以及证书申请ope...
linux系统中使用openssl实现mysql主从复制
09-09
为了增强这种安全性,我们可以利用Linux系统的openssl工具来实现MySQL主从复制加密通信。以下是如何在Linux环境下通过openssl配置MySQL主从复制的详细步骤: 首先,我们需要准备证书。证书是SSL/TLS加密的基础,...
MySQL配置SSL主从复制
09-09
MySQL配置SSL主从复制是为了确保数据在主从节点之间的传输是安全的,通过加密通信防止数据在传输过程中被窃取或篡改。SSL(Secure Sockets Layer)是一种广泛使用的网络安全协议,可以为网络通信提供加密处理,确保...
mysql 主从配置 加密_基于SSL实现Mysql加密主从
weixin_35991292的博客
01-19 117
Mysql主从复制是明文传输的,对于一些特殊的场合是绝对不允许的,数据的安全性会受到威胁,在这里,简单的构建基于SSLmysql主从复制Ps:这里采用master-mysql为CA服务器主端生成CA自签名证书# mkdir -p /etc/my.cnf.d/ssl# cd/etc/my.cnf.d/ssl/# openssl genrsa2048 >cakey.pemGenerating ...
实验:实现MySQL主从加密复制
me0607040211的博客
05-03 247
一、实验的准备环境 一台用于CA签署和生成证书的主机,一台是MySQL的主服务器,最后一台是MySQL的从服务器。 二、CA签署证书和颁发证书 生成CA的自签名证书 # 生成CA的私钥 openssl genrsa -out cakey.pem 2048 # 自签名CA的证书 openssl req -new -x509 -key cakey.pem -out cacert.pem -days...
MySQL——主从复制ssl主从复制、gtid主从复制
lin小将的博客
03-18 534
一、主从复制 二、实现基于 ssl 安全连接的主从复制 master 192.168.1.133 slave 192.168.1.134 1、在主 mysql 创建 SSL/RSA 文件 [root@master ~]# cd /usr/local/mysql/bin/ [root@master bin]# mysql_ssl_rsa_setup --user=mysql --basedir=/usr/local/mysql --datadir=/usr/local/mysql/data
mysql 传输加密方式_请问各位大侠,要实现MYSQL加密传输,应该怎么做?
weixin_29143935的博客
01-21 1358
MYSQL加密传输应该怎么实现,有如下的操作步骤:To get secure connections to work with MySQL, you must do the following:Install the OpenSSL library. We have tested MySQL with OpenSSL 0.9.6. If you need OpenSSL, visit http:/...
MySQL——ssl加密连接
最新发布
qtishero的博客
11-17 1825
mysql服务器端启用强制SSL加密
Mysql加密连接mysql_ssl_rsa_setup
月生的静心苑
12-27 5184
mysql5.7之前的版本是不提供ssl安全连接的,其在网络中数据都是以明文进行传输的。mysql_ssl_rsa_setup程序用于创建 SSL 证书和密钥文件以及 RSA 密钥对文件,以支持使用 SSL 的安全连接和使用 RSA 通过未加密连接的安全密码交换(如果这些文件丢失)。 如果现有的 SSL 文件已经过期,mysql_ssl_rsa_setup也可用于创建新的 SSL 文件。MySQL5.7默认是开启SSL连接,如果强制用户使用SSL连接,那么应用程序的配置也需要明确指定SSL相关参数,否则程序
mySQL数据的加密与解密
weixin_60414376的博客
06-01 4635
mySQL对数据、密码进行加密
ssl MySQL_基于 SSL 实现MySQL主从复制
weixin_39926943的博客
01-20 104
1、主服务器配置1)、在主服务器创建SSL/RSA文件#在MySQL5.7之后,安装完毕MySQL会在data目录下自动生成,这里模拟没有这些文件[root@mysql ~]# mysql_ssl_rsa_setup --user=mysql --basedir=/usr/local/mysql --datadir=/usr/local/mysql/data # 创建一个新的ssl文...
MySQL基于ssl主从复制
秦子腾
02-26 366
MySQL较高的版本一般会在/data目录下自动生成ssl文件,但偏低的版本没有 可以查看/data目录来确认是否有ssl文件 如果有的话那就可以直接跳过第一步(1.在主 mysql 创建 SSL/RSA 文件) 1.在主 mysql 创建 SSL/RSA 文件 [root@master data]# cd /usr/local/mysql/bin/ [root@master bin]# mysql_ssl_rsa_setup --user=mysql --basedir=/usr/local/mysql
MySQL 8.0 Reference Manual 参考手册原版
09-24
MySQL 8.0 Reference Manual 参考手册原版 MySQL 8.0 Reference Manual Including MySQL NDB Cluster 8.0 这是MySQL参考手册。它记录了MySQL 8.0到8.0.18,以及分别基于NDB 8.0到8.0.18-NDB-8.0.18版本的NDB Cluster版本。它可能包括尚未发布的MySQL版本的功能文档。有关哪些版本的信息发布,请参阅MySQL 8.0发行说明。 2019-06-22 (revision: 62443)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值