等保测评mysql_等保测评2.0：MySQL身份鉴别（下）

1. 说明

本篇文章主要说一下 MySQL 数据中身份鉴别控制点中b、c、d测评项的相关知识点和理解。

2. 测评项

b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

3. 测评项b

b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

3.1. 登录失败功能1

对于登录失败功能，先说一说初级教程里的参数：max_connect_errors：

这里的参数其实和我们想要的功能有差别，根据测评项，需要的是输入口令失败次数过多后锁定相应账户的功能。

max_connect_errors从表面说明看来，好像是这样。

但我自己在本地进行测试后，发现当口令错误次数超过max_connect_errors的值后，仍可以登录数据库。

根据网上的说明，max_connect_errors所指的“请求没有成功的建立就断开了”，其实是指由网络因素导致的连接失败。

在客户端与MySQL进行连接时，会首先发起三次握手协议，在这个期间，有一个超时时间，如果网络超时超过该时间，这次连接就无法正常建立，这个失败次数会计入host_cache表中的SUM_CONNECT_ERRORS字段中，当SUM_CONNECT_ERRORS超过限定值max_connect_errors时，就会阻止该主机的所有请求了。

而因为输入口令错误导致的连接错误，不会计入SUM_CONNECT_ERRORS中，也就不会达到我们想要的效果了。

关于max_connect_errors的详细说明，可以看一看这篇文章： MySQL参数max_connect_errors分析释疑

3.2. 登录失败功能2

可以使用插件CONNECTION_CONTROL和CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS共同实现。

使用下列语句查询插件：

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS

FROM INFORMATION_SCHEMA.PLUGINS

WHERE PLUGIN_NAME LIKE 'connection%';

+------------------------------------------+---------------+

| PLUGIN_NAME | PLUGIN_STATUS |

+------------------------------------------+---------------+

| CONNECTION_CONTROL | ACTIVE |

| CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS | ACTIVE |

+------------------------------------------+---------------+

然后是它的相关参数值：

show variables like '%connection_control%';

参数解释如下：

connection_control_failed_connections_threshold：在 服务器 增加后续连接尝试的延迟之前，允许客户端进行的连续失败连接尝试的次数。

connection_control_min_connection_delay：对于超出阈值的每个连续连接失败，要添加的延迟量。

connection_control_max_connection_delay：要添加的最大延迟。

上述参数中，关于时间参数的单位是毫秒，其作用如下：

例如，使用默认值 connection_control_failed_connections_threshold 和 connection_control_min_connection_delay 值分别为3和1000，客户端的前三个连续失败连接尝试没有延迟，第四次失败尝试没有1000毫秒的延迟，第五次失败尝试有2000毫秒的延迟，依此类推，直到允许的最大延迟 connection_control_max_connection_delay。

具体可以参看官方说明： 连接控制插件的安装

这里说一点，两个插件要都处于启用状态才能实现效果：

可以安装一个插件而不安装另一个插件，但是必须安装两个插件才能完全控制连接。特别是，仅安装 CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS 插件没什么用，因为如果没有 CONNECTION_CONTROL插件提供填充CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS 表的数据，那么 从表中进行的检索将始终为空。

3.3. 超时功能

在初级教程中，说的是wait_timeout参数，这个参数的单位是秒，默认值是28880。

这个超时时间，指的是某个和 数据库 的连接，在限制时间内没有发起任何请求，这个连接就会被清理掉。

但实际上相关的参数是两个，从官方文档上来看，interactive_timeout和wait_timeout是一样的，都是指不活跃的连接超时时间，连接线程启动的时候wait_timeout会根据是交互模式还是非交互模式被设置为这两个值中的一个。

交互式操作：通俗的说，就是你在你的本机上打开mysql的客户端，就是那个黑窗口，在黑窗口下进行各种sql操作，当然走的肯定是tcp协议。

非交互式操作：就是你在你的项目中进行程序调用。比如一边是tomcat web服务器，一边是数据库服务器，两者怎么通信？在java web里，我们通常会选择hibernate或者是jdbc来连接。那么这时候就是非交互式操作。

当使用交互模式时，使用interactive_timeout参数，而非交互模式时，则使用wait_timeout参数。

但实际上呢，MySQL在这里绕了个圈子，使用交互模式时，虽然使用的是interactive_timeout参数，但这里所谓的使用是指在check_connection函数在建立连接初期，将interactive_timeout值赋给wait_timeout，然后仍然由wait_timeout来控制超时(这种模式太容易误导人了)：

做个实验，默认状况下interactive_timeout和wait_timeout都是默认值28880。

在一个交互式连接中，用以下语句设置interactive_timeout值：

set global interactive_timeout = 28805;

此时wait_timeout还是28880(因为wait_timeout引用interactive_timeout值的时间节点已经过去了)，当新建一个交互式连接后，wait_timeout的值就变成了28805了：

show session variables like '%timeout%';

3.4. MySQL变量

这里说一说一个概念，在MySQL中存在global变量和session变量，比如wait_timeout，在global变量和session变量都存在(也有些变量只存在global变量中)：

session变量是指该变量仅对这一次连接有效，global变量则是对所有连接均有效。

当每个连接建立时，其session变量来自相应的global变量。

当MySQL服务重启时，global变量也会失效，从MySQL配置文件中读取默认值或者设置值。

我们常用的查询、设置变量的语句，在不加上global关键词时，默认查询和设置的都是session变量，以下两个语句是等价的：

show session variables like '%timeout%';

show variables like '%timeout%';

如果要查询global变量，加上global关键字即可：

show global variables like '%timeout%';

所以在上文中设置了global interactive_timeout值后的过程是这样的：

设置global interactive_timeout，重新交互式建立连接，此时session interactive_timeout的值来自设置的global interactive_timeout的值(28805)。此时session wait_timeout的值也来自global wait_timeout的值(28800)。然后在连接的建立过程中session wait_timeout引用了session interactive_timeout，于是就变成了28805。

4. 测评项c

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

MySQL自己支持使用ssl协议对连接进行加密，相关的参数有have_openssl、have_ssl：

这里的have_openssl变量如果按照官网的手册里的说法，应该是have_ssl变量的别名：

其内容如下：

为YES则代表数据库支持SSL连接(但并不代表强制要求客户端使用ssl协议，此时它仍然允许未加密的连接)

如果某连接使用到了SLL，在Mysql.exe中，使用status可以看到相关信息(这里没使用)：

同时SSL_CIPHER变量中会存在值：

使用SSL，需要运行mysql_ssl_rsa_setup，生成以下文件：

此时，相关变量如下：

可以强制某用户必须使用ssl进行连接：

也可以强制服务器端只接受ssl的连接：

5. 测评项d

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

对于双因素本身的探讨在这里就不进行重复的论述了，可以看我以前文章中该测评项的内容： 等保测评2.0：Windows身份鉴别 、 等保测评2.0：SQLServer身份鉴别(下) 。

对于MySQL本身，可以要求客户端必须提供ca.pem、client-cert.pem、client-key.pem文件才能够连接成功：

通过对用户进行设置：

ALTER USER 'remote_user'@'mysql_client_IP' REQUIRE X509;

此时如果直接使用用户名、口令去连接，会出错：

mysql -u remote_user -p -h mysql_server_IP

ERROR 1045 (28000): Access denied for user 'remote_user'@'mysql_client_IP' (using password: YES)

此时需要在客户端连接时指定相关文件：

mysql -u remote_user -p -h mysql_server_IP --ssl-ca=~/client-ssl/ca.pem --ssl-cert=~/client-ssl/client-cert.pem --ssl-key=~

这种应该也算是使用双因素进行身份认证，至于如果使用堡垒机的方式对数据库进行管理，然后堡垒机使用双因素认证等，只能用来修正双因素的高风险而已。

*本文原创作者：起于凡而非于凡 ，本文属于FreeBuf原创奖励计划，未经许可禁止转