mysql ssl_cipher_MySQL服务器开启SSL加密功能

MySQL服务器开启SSL加密功能

我们知道，MySQL5.7之前版本，安全性做的并不够好，比如安装时生成的root空密码账号、存在任何用户都能连接上的test库等，导致数据库存在较大的安全隐患。好在5.7版本对以上问题进行了一一修复。与此同时，MySQL 5.7版本还提供了更为简单SSL安全访问配置，且默认连接就采用SSL的加密方式，这让数据库的安全性提高一个层次。

环境

IP

主机名

说明

192.168.1.101

node1

mysql服务端

192.168.1.102

node2

mysql客户端

1、SSL介绍

SSL(Secure Socket Layer：安全套接字层)利用数据加密、身份验证和消息完整性验证机制，为基于TCP等可靠连接的应用层协议提供安全性保证。

SSL协议提供的功能主要有：

1、数据传输的机密性：利用对称密钥算法对传输的数据进行加密；

2、身份验证机制：基于证书利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份验证是可选的；

3、消息完整性验证：消息传输过程中使用MAC算法来检验消息的完整性。

如果用户的传输不是通过SSL的方式，那么其在网络中数据都是以明文进行传输的，而这给别有用心的人带来了可乘之机。所以，现在很多大型网站都开启了SSL功能。同样地，在我们数据库方面，如果客户端连接服务器获取数据不是使用SSL连接，那么在传输过程中，数据就有可能被窃取。

2、MySQL5.7 SSL配置和启用

2.1、查看SSL开启情况

root@node1 19:58: [(none)]> show global variables like '%ssl%';

+---------------+----------+

| Variable_name | Value |

+---------------+----------+

| have_openssl | DISABLED |

| have_ssl | DISABLED |

| ssl_ca | |

| ssl_capath | |

| ssl_cert | |

| ssl_cipher | |

| ssl_crl | |

| ssl_crlpath | |

| ssl_key | |

+---------------+----------+

9 rows in set (0.01 sec)

root@node1 19:58: [(none)]> status;

--------------

mysql Ver 14.14 Distrib 5.7.22, for linux-glibc2.12 (x86_64) using EditLine wrapper

Connection id: 4

Current database:

Current user: root@localhost

SSL: Not in use

Current pager: stdout

Using outfile: ''

Using delimiter: ;

Server version: 5.7.22-log MySQL Community Server (GPL)

Protocol version: 10

Connection: Localhost via UNIX socket

Server characterset: utf8mb4

Db characterset: utf8mb4

Client characterset: utf8

Conn. characterset: utf8

UNIX socket: /data/mysql/mysql3306.sock

Uptime: 6 min 9 sec

Threads: 1 Questions: 14 Slow queries: 0 Opens: 109 Flush tables: 1 Open tables: 103 Queries per second avg: 0.037

--------------

root@node1 19:59: [(none)]>

由上可看出：目前MySQL服务没有开启SSL功能；

2.2、安装openssl

yum install openssl -y

2.3、关闭MySQL服务

systemctl stop mysqld

2.4、运行mysql_ssl_rsa_setup 命令,开启SSL连接

安装SSL,开启SSL连接

[root@node1 mysql]# ./bin/mysql_ssl_rsa_setup

Generating a 2048 bit RSA private key

.........................................+++

.............+++

writing new private key to 'ca-key.pem'

-----

Generating a 2048 bit RSA private key

....................................+++

.....................................+++

writing new private key to 'server-key.pem'

-----

Generating a 2048 bit RSA private key

.......................+++

..............................................................................+++

writing new private key to 'client-key.pem'

-----

[root@node1 mysql]#

典型的选项是--datadir指定创建文件的位置，以及--verbose查看mysql_ssl_rsa_setup执行的openssl命令 。

当运行完这个命令后，默认会在$datadir目录下生成以下pem文件，这些文件就是用于启用SSL功能的：

[root@node1 data]# ll *.pem

-rw------- 1 root root 1675 3月 8 18:34 ca-key.pem # CA私钥

-rw-r--r-- 1 root root 1107 3月 8 18:34 ca.pem # 自签的CA证书，客户端连接也需要提供

-rw-r--r-- 1 root root 1107 3月 8 18:34 client-cert.pem # 客户端连接服务器端需要提供的证书文件

-rw------- 1 root root 1675 3月 8 18:34 client-key.pem # 客户端连接服务器端需要提供的私钥文件

-rw------- 1 root root 1679 3月 8 18:34 private_key.pem # 私钥/公钥对的私有成员

-rw-r--r-- 1 root root 451 3月 8 18:34 public_key.pem # 私钥/公钥对的共有成员

-rw-r--r-- 1 root root 1107 3月 8 18:34 server-cert.pem # 服务器端证书文件

-rw------- 1 root root 1675 3月 8 18:34 server-key.pem # 服务器端私钥文件

[root@node1 data]# chown mysql:mysql *.pem # 到data_dir目录下修改.pem文件的所属权限用户为mysql

[root@node1 data]# ll *.pem

-rw------- 1 mysql mysql 1675 3月 8 18:34 ca-key.pem

-rw-r--r-- 1 mysql mysql 1107 3月 8 18:34 ca.pem

-rw-r--r-- 1 mysql mysql 1107 3月 8 18:34 client-cert.pem

-rw------- 1 mysql mysql 1675 3月 8 18:34 client-key.pem

-rw------- 1 mysql mysql 1679 3月 8 18:34 private_key.pem

-rw-r--r-- 1 mysql mysql 451 3月 8 18:34 public_key.pem

-rw-r--r-- 1 mysql mysql 1107 3月 8 18:34 server-cert.pem

-rw------- 1 mysql mysql 1675 3月 8 18:34 server-key.pem

[root@node1 data]#

2.5、配置文件启用加密连接

要为服务器启用加密连接，请在my.cnf 文件中使用这些行启动它，根据需要更改文件名：

[mysqld]

ssl-ca=ca.pem

ssl-cert=server-cert.pem

ssl-key=server-key.pem

2.6、启动MySQL服务

systemctl start mysqld

2.7、查看SSL证书的内容

要查看SSL证书的内容(例如，要检查其有效的日期范围)，请直接调用 openssl：

openssl x509 -text -in ca.pem

openssl x509 -text -in server-cert.pem

openssl x509 -text -in client-cert.pem

也可以使用以下SQL语句检查SSL证书过期信息：

root@node1 13:36: [(none)]> SHOW STATUS LIKE 'Ssl_server_not%';

+-----------------------+--------------------------+

| Variable_name | Value |

+-----------------------+--------------------------+

| Ssl_server_not_after | Mar 5 12:03:45 2029 GMT |

| Ssl_server_not_before | Mar 8 12:03:45 2019 GMT |

+-----------------------+--------------------------+

2 rows in set (0.01 sec)

root@node1 13:36: [(none)]>

3、创建用户SSL/TLS选项

3.1、常用设置SSL/TLS语句

要为MySQL帐户指定SSL/TLS相关选项，请使用REQUIRE指定一个或多个tls_option值的子句 。

REQUIRE选项顺序无关紧要，但不能指定选项两次。该AND关键字是可选之间REQUIRE选择。

CREATE USER允许这些 tls_option值：

NONE

表示该语句指定的所有帐户都没有SSL或X.509要求。如果用户名和密码有效，则允许未加密的连接。如果客户端具有适当的证书和密钥文件，则可以在客户端选择使用加密连接。

CREATE USER 'username'@'localhost' REQUIRE NONE;

客户端默认尝试建立安全连接。对于具有REQUIRE NONE此功能的客户端，如果无法建立安全连接，则连接尝试将回退到未加密的连接。要求加密连接，客户端只需指定 --ssl-mode=REQUIRED 选项; 如果无法建立安全连接，则连接尝试失败。

NONE如果未REQUIRE指定与SSL相关的选项，则为默认值 。

SSL

告知服务器仅允许该语句命名的所有帐户的加密连接。

CREATE USER 'username'@'localhost' REQUIRE SSL;

客户端默认尝试建立安全连接。对于具有的帐户，REQUIRE SSL如果无法建立安全连接，则连接尝试将失败。

X509

对于语句指定的所有帐户，要求客户端提供有效证书，但确切的证书，颁发者和主题无关紧要。唯一的要求是应该可以使用其中一个CA证书验证其签名。使用X.509证书始终意味着加密，因此SSL在这种情况下不需要该 选项。

CREATE USER 'username'@'localhost' REQUIRE X509;

对于帐户REQUIRE X509，客户必须指定连接--ssl-key 和--ssl-cert选项。(建议但不要求 --ssl-ca也要指定，以便可以验证服务器提供的公共证书。)这是正确的ISSUER ，SUBJECT因为这些 REQUIRE选项意味着要求X509。

3.2、创建普通用户user1并强制普通用户必须使用SSL连接数据库

root@node1 20:12: [(none)]> grant select,insert,update,delete on *.* to 'user1'@'%' identified by 'rootroot';

Query OK, 0 rows affected, 1 warning (0.01 sec)

root@node1 20:14: [(none)]> flush privileges;

Query OK, 0 rows affected (0.01 sec)

root@node1 20:22: [(none)]> alter user 'user1'@'%' require ssl;

Query OK, 0 rows affected (0.00 sec)

root@node1 20:14: [(none)]> exit

Bye

mysql命令ssl选项：

--ssl-mode=name SSL连接模式:禁用(DISABLED),首选(PREFERRED),需要(REQUIRED),'VERIFY_CA','VERIFY_IDENTITY,默认开启；

--ssl:已弃用,请改用--ssl-mode。开启ssl(on,1);关闭ssl(off,0);(默认为on;使用--skip-ssl禁用。)。

使用--ssl-mode=VERIFY_CA或 --ssl-mode=VERIFY_IDENTITY，客户端需要加密连接，并对服务器CA证书和(与VERIFY_IDENTITY)证书 中的服务器主机名执行验证。

对于上面强制使用ssl连接的用户，如果不是使用ssl连接的就会报错，像下面这样：

[root@node1 mysql]# mysql -h 192.168.1.101 -uuser1 -p --ssl-mode=DISABLED

WARNING: --ssl is deprecated and will be removed in a future version. Use --ssl-mode instead.

Enter password:

ERROR 1045 (28000): Access denied for user 'user1'@'node1' (using password: YES)

[root@node1 mysql]# mysql -h 192.168.1.101 -uuser1 -p # 默认开启SSL

Enter password:

Welcome to the MySQL monitor. Commands end with ; or \g.

Your MySQL connection id is 13

Server version: 5.7.22-log MySQL Community Server (GPL)

Copyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its

affiliates. Other names may be trademarks of their respective

owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

user1@node1 20:24: [(none)]> show global variables like '%ssl%';

+---------------+-----------------+

| Variable_name | Value |

+---------------+-----------------+

| have_openssl | YES |

| have_ssl | YES | # 已经开启了SSL

| ssl_ca | ca.pem |

| ssl_capath | |

| ssl_cert | server-cert.pem |

| ssl_cipher | |

| ssl_crl | |

| ssl_crlpath | |

| ssl_key | server-key.pem |

+---------------+-----------------+

9 rows in set (0.00 sec)

user1@node1 20:19: [(none)]> status;

--------------

mysql Ver 14.14 Distrib 5.7.22, for linux-glibc2.12 (x86_64) using EditLine wrapper

Connection id: 6

Current database:

Current user: user1@node1

SSL: Cipher in use is DHE-RSA-AES256-SHA # 表示该用户是采用SSL连接到mysql服务器上的，如果不是ssl，那么会显示“Not in use“

Current pager: stdout

Using outfile: ''

Using delimiter: ;

Server version: 5.7.22-log MySQL Community Server (GPL)

Protocol version: 10

Connection: 192.168.1.101 via TCP/IP

Server characterset: utf8mb4

Db characterset: utf8mb4

Client characterset: utf8

Conn. characterset: utf8

TCP port: 3306

Uptime: 11 min 15 sec

Threads: 1 Questions: 27 Slow queries: 0 Opens: 118 Flush tables: 1 Open tables: 111 Queries per second avg: 0.040

--------------

user1@node1 20:19: [(none)]>

注意：如果用户是采用本地localhost或者sock连接数据库，那么不会使用SSL方式了。

3.3、要求ssl+秘钥登录

mysql服务端添加秘钥登陆：

root@node1 11:52: [(none)]> alter user 'java'@'%' require x509;

把客户端证书和私钥：server-cert.pem和server-key.pem或者服务端证书和私钥：client-cert.pem和client-key.pem，从mysql服务端服务器复制到客户端服务器,然后使用ssl+秘钥登录：

[root@NUC-9 ~]# mysql -h 192.168.0.148 -ujava -prootroot --ssl-mode=REQUIRED -e "show databases;"

mysql: [Warning] Using a password on the command line interface can be insecure.

ERROR 1045 (28000): Access denied for user 'java'@'192.168.0.68' (using password: YES)

[root@NUC-9 ~]# mysql -h 192.168.0.148 -ujava -prootroot --ssl-mode=REQUIRED --ssl-cert=server-cert.pem --ssl-key=server-key.pem -e "show databases;"

mysql: [Warning] Using a password on the command line interface can be insecure.

+--------------------+

| Database |

+--------------------+

| information_schema |

| mysql |

| performance_schema |

| sys |

| test |

+--------------------+

[root@NUC-9 ~]# mysql -h 192.168.0.148 -ujava -prootroot --ssl-mode=REQUIRED --ssl-cert=client-cert.pem --ssl-key=client-key.pem -e "show databases;"

mysql: [Warning] Using a password on the command line interface can be insecure.

+--------------------+

| Database |

+--------------------+

| information_schema |

| mysql |

| performance_schema |

| sys |

| test |

+--------------------+

[root@NUC-9 ~]#

4、未使用SSL和使用SSL安全性对比

4.1、安装tshark命令(wireshark)抓包工具

直接安装tshark

[root@node1 ~]# yum install tshark

已加载插件：fastestmirror

Loading mirror speeds from cached hostfile

* base: mirrors.aliyun.com

* extras: mirrors.aliyun.com

* updates: mirrors.aliyun.com

没有可用软件包 tshark。

错误：无须任何处理

使用yum搜索tshark命令的安装包

[root@node1 ~]# yum whatprovides *tshark*

已加载插件：fastestmirror

Loading mirror speeds from cached hostfile

* base: mirrors.aliyun.com

* extras: mirrors.aliyun.com

* updates: mirrors.aliyun.com

1:bash-completion-extras-2.1-11.el7.noarch : Additional programmable completions for Bash

源 ：epel

匹配来源：

文件名 ：/usr/share/bash-completion/completions/tshark

wireshark-1.10.14-16.el7.i686 : Network traffic analyzer

源 ：base

匹配来源：

文件名 ：/usr/sbin/tshark

文件名 ：/usr/share/wireshark/tshark.html

文件名 ：/usr/share/man/man1/tshark.1.gz

wireshark-1.10.14-16.el7.x86_64 : Network traffic analyzer

源 ：base

匹配来源：

文件名 ：/usr/sbin/tshark

文件名 ：/usr/share/wireshark/tshark.html

文件名 ：/usr/share/man/man1/tshark.1.gz

wireshark-1.10.14-16.el7.x86_64 : Network traffic analyzer

源 ：@base

匹配来源：

文件名 ：/usr/sbin/tshark

文件名 ：/usr/share/wireshark/tshark.html

文件名 ：/usr/share/man/man1/tshark.1.gz

发现wireshark包有tshark命令；

安装wireshark包

[root@node1 ~]# yum install wireshark -y

已加载插件：fastestmirror

Loading mirror speeds from cached hostfile

* base: mirrors.aliyun.com

* extras: mirrors.aliyun.com

* updates: mirrors.aliyun.com

软件包 wireshark-1.10.14-16.el7.x86_64 已安装并且是最新版本

无须任何处理

[root@node1 ~]#

yum install wireshark -y

4.2、创建普通用户user2不强制使用SSL连接数据库

root@node1 20:12: [(none)]> grant select,insert,update,delete on *.* to 'user2'@'%' identified by 'rootroot';

Query OK, 0 rows affected, 1 warning (0.01 sec)

root@node1 20:14: [(none)]> flush privileges;

Query OK, 0 rows affected (0.01 sec)

4.3、未使用SSL情况：

在客户端机器(192.168.1.102)上连接数据库并进行show database操作，使用--ssl-mode=DISABLED关闭SSL

[root@node2 ~]# mysql -h 192.168.1.101 -uuser2 -prootroot --ssl-mode=DISABLED -e "show databases;"

mysql: [Warning] Using a password on the command line interface can be insecure.

+--------------------+

| Database |

+--------------------+

| information_schema |

| mysql |

| performance_schema |

| sys |

+--------------------+

[root@node2 ~]#

同时在MySQL服务器端(192.168.1.101)上用tshark进行抓包：

[root@node1 ~]# tshark -i ens33 -Y 'tcp.port == 3306 && mysql.query' -T fields -e frame.time -e 'ip.src' -e 'mysql.query'

Running as user "root" and group "root". This could be dangerous.

Capturing on 'ens33'

"Mar 11, 2019 11:07:20.651700295 CST" 192.168.0.68 select @@version_comment limit 1

"Mar 11, 2019 11:07:20.652402246 CST" 192.168.0.68 show databases

4.4、使用SSL情况：

在客户端机器(192.168.1.102)上连接数据库并进行insert操作，使用--ssl-mode=REQUIRED指定SSL

[root@node2 ~]# mysql -h 192.168.1.101 -uuser2 -prootroot --ssl-mode=REQUIRED -e "show databases;"

mysql: [Warning] Using a password on the command line interface can be insecure.

+--------------------+

| Database |

+--------------------+

| information_schema |

| mysql |

| performance_schema |

| sys |

+--------------------+

[root@node2 ~]#

同时在MySQL服务器端(192.168.1.101)上再次用tshark进行抓包：

[root@node1 ~]# tshark -i ens33 -Y 'tcp.port == 3306 && mysql.query' -T fields -e frame.time -e 'ip.src' -e 'mysql.query'

Running as user "root" and group "root". This could be dangerous.

Capturing on 'ens33'

结论:没有抓到该语句，采用SSL加密后，tshark抓不到数据，安全性高。

5、使用SSL前后性能对比(QPS)

服务器配置：CPU:32核心 内存:128G 磁盘：SSD

为了尽量准确测试QPS，采用全内存查询，因为我们线上热点数据基本都在内存中；按照并发线程数分类：1线程、4线程、8线程、16线程、24线程、32线程、64线程；

具体数据如下：

从测试数据可以发现，开启SSL后，数据库QPS平均降低了23%左右，相对还是比较影响性能的。从SSL实现方式来看，建立连接时需要进行握手、加密、解密等操作。所以耗时基本都在建立连接阶段，这对于使用短链接的应用程序可能产生更大的性能损耗，比如采用PHP开发。不过如果使用连接池或者长连接可能会好许多。

6、总结

1、MySQL5.7默认是开启SSL连接，如果强制用户使用SSL连接，那么应用程序的配置也需要明确指定SSL相关参数，否则程序会报错。

2、虽然SSL方式使得安全性提高了，但是相对地使得QPS也降低23%左右。所以要谨慎选择：

2.1、对于非常敏感核心的数据，或者QPS本来就不高的核心数据，可以采用SSL方式保障数据安全性；

2.2、对于采用短链接、要求高性能的应用，或者不产生核心敏感数据的应用，性能和可用性才是首要，建议不要采用SSL方式；

参考