mysql 5.7 ssl 客户端_MySQL 5.7:客户端和服务端默认开启加密连接

最新推荐文章于 2023-12-19 22:30:10 发布
最新推荐文章于 2023-12-19 22:30:10 发布
阅读量514 收藏 1
点赞数
文章标签: mysql 5.7 ssl 客户端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39913105/article/details/113342518
版权
本文介绍了MySQL 5.7中如何开启和配置SSL以实现安全的加密通信,确保数据传输的安全性。通过执行`mysql_ssl_rsa_setup`命令生成所需SSL文件,并展示如何检查SSL状态、强制用户使用SSL连接以及5.7版本的默认SSL行为变化。
摘要由CSDN通过智能技术生成

有这么一种需求,就是要求处理敏感字段,比如取出的密码或资金数据用 *** 来表示,那么 DBA 就无法看到这部分的私人数据内容。这本身是一个很不错的安全处理方式,但若 DBA 在本地装一个类似 tcpdump 的工具,则依然能够通过获取得到的包得到想要的数据。因此,除了在程序端进行展示的安全处理,还需在 MySQL 服务器端开启安全的加密通信功能,这时就是 SSL 发挥功能的时候了。

MySQL 5.7 的 SSL 配置与使用,如果仔细阅读 MySQL 5.7 的安装文档 INSTALL-BINARY,会发现 5.7 的安装文档在初始化数据目录之后还额外多做了一个操作,这是之前版本所没有的操作,而该步骤即是对于 SSL 的安装与配置:

shell> bin/mysql_ssl_rsa_setup

1

shell>bin/mysql_ssl_rsa_setup

运行完命令 mysql_ssl_rsa_setup 后会发现数据目录下多出了一些以 pem 结尾的文件,而这些文件就是开启 SSL 连接所需要的文件:

server-cert.pem

server-key.pem

client-cert.pem

client-key.pem

ca.pem

ca-key.pem

public_key.pem

private_key.pem

1

2

3

4

5

6

7

8

server-cert.pem

server-key.pem

client-cert.pem

client-key.pem

ca.pem

ca-key.pem

public_key.pem

private_key.pem

PS:如果你是 yum 安装,那么直接执行 mysql_ssl_rsa_setup,就会在 /var/log/mysql/ 目录下就会生成这些文件。

若这时启动 MySQL 数据库并启动应该可以发现如下状态:

mysql> SHOW VARIABLES LIKE '%ssl%';

+---------------+---------------------------------+

| Variable_name | Value |

+---------------+---------------------------------+

| have_openssl | YES |

| have_ssl | YES |

1

2

3

4

5

6

mysql>SHOWVARIABLESLIKE'%ssl%';

+---------------+---------------------------------+

|Variable_name|Value|

+---------------+---------------------------------+

|have_openssl|YES|

|have_ssl|YES|

该参数表示 MySQL 服务器开启了 SSL 功能,而在 MySQL 5.7 版本下客户端默认就会使用SSL的方式来进行连接(注意:如果使用 socket 连接的话就无法加密),比如:

$ mysql -ubackup -p -h10.0.60.143

mysql> \s

--------------

mysql Ver 14.14 Distrib 5.7.16, for Linux (x86_64) using EditLine wrapper

Connection id:13

Current database:

Current user:root@10.0.60.143

SSL:Cipher in use is DHE-RSA-AES256-SHA

1

2

3

4

5

6

7

8

9

$mysql-ubackup-p-h10.0.60.143

mysql>\s

--------------

mysqlVer14.14Distrib5.7.16,forLinux(x86_64)usingEditLinewrapper

Connectionid:13

Currentdatabase:

Currentuser:root@10.0.60.143

SSL:CipherinuseisDHE-RSA-AES256-SHA

通过 STATUS 的 SSL 列就能判断连接的用户是否使用了 SSL,比如上述例子中的 Cipher in use is DHE-RSA-AES256-SHA 就表示当前 root 用户是通过 SSL 的方式进行连接。

当我们在 MySQL 开启 SSL 连接时,在客户端驱动连接时如果也开启了 SSL 连接,那么自然就需要配置相关证书了,不然就会报错;当客户端驱动关闭 SSL 连接时,那么 MySQL 端就不会使用 SSL 连接方式处理了。

若在创建用户时,希望该用户每次必须通过 SSL 方式,则需在创建用户通过 “REQUIRE SSL” 来进行设置,对于上述的 root 用户,可以通过如下方式来进行修改以确保每次通过 SSL 进行连接,强制不使用 SSL 进行连接则报错:

mysql> ALTER USER root@'%' REQUIRE SSL;

Query OK, 0 rows affected (0.00 sec)

mysql> flush privileges;

Query OK, 0 rows affected (0.01 sec)

1

2

3

4

5

mysql>ALTERUSERroot@'%'REQUIRESSL;

QueryOK,0rowsaffected(0.00sec)

mysql>flushprivileges;

QueryOK,0rowsaffected(0.01sec)

或者创建用户时直接指定。

mysql> grant all on *.* to 'root'@'%' identified by '123456' REQUIRE SSL;

1

mysql>grantallon*.*to'root'@'%'identifiedby'123456'REQUIRESSL;

再次登录,但记得连接时关闭 SSL 连接。

$ mysql -uroot -p -h10.0.60.143 --ssl=off

WARNING: --ssl is deprecated and will be removed in a future version. Use --ssl-mode instead.

Enter password:

ERROR 1045 (28000): Access denied for user 'root'@'10.0.60.143' (using password: YES)

1

2

3

4

$mysql-uroot-p-h10.0.60.143--ssl=off

WARNING:--sslisdeprecatedandwillberemovedinafutureversion.Use--ssl-modeinstead.

Enterpassword:

ERROR1045(28000):Accessdeniedforuser'root'@'10.0.60.143'(usingpassword:YES)

可以看到不允许连接的。

从 MySQL 5.7.28 开始默认就开启了 SSL 连接,之前版本需要手动使用工具 mysql_ssl_rsa_setup 来生成”SSL 密钥和证书文件”,以支持 SSL 连接。5.7.28 启动数据库时,会在数据目录自动生成以下文件。

ca-key.pem

ca.pem

client-cert.pem

client-key.pem

private_key.pem

public_key.pem

server-cert.pem

server-key.pem

1

2

3

4

5

6

7

8

ca-key.pem

ca.pem

client-cert.pem

client-key.pem

private_key.pem

public_key.pem

server-cert.pem

server-key.pem

当然,你也可以手动关闭自动生成证书。MySQL 5.7.28 官方默认打开了参数 --auto-generate-certs,用来控制是否自动生成证书。

$ mysql --verbose --help |less

--auto-generate-certs

Auto generate SSL certificates at server startup if --ssl

is set to ON and none of the other SSL system variables

are specified and certificate/key files are not present

in data directory.

(Defaults to on; use --skip-auto-generate-certs to disable.)

1

2

3

4

5

6

7

$mysql--verbose--help|less

--auto-generate-certs

AutogenerateSSLcertificatesatserverstartupif--ssl

issettoONandnoneoftheotherSSLsystemvariables

arespecifiedandcertificate/keyfilesarenotpresent

indatadirectory.

(Defaultstoon;use--skip-auto-generate-certstodisable.)

相关的参数,还有这些:

auto_generate_certs

sha256_password_auto_generate_rsa_keys

sha256_password_private_key_path

sha256_password_public_key_path

Rsa_public_key

早期版本此参数虽然也有,但是默认是关闭的。如果你的 MySQL 源码编译时用 openssl 替代 yassl,那就有这些参数!MySQL 5.7.28 开始也正是因为默认编译时使用了 openssl 替代 yassl,所以官方就默认开启了开启了 SSL。

NOTE

以往 MySQL 社区版默认是使用 yassl 编译,企业版默认使用 openssl 编译,手动编译时可以选择 yassl 或 openssl。

MySQL 5.7.28 开始仅支持 OpenSSL,yassl 被移除了,默认编译用的是 openssl,社区版和企业版支持并且只支持 openssl 作为其 SSL 库。

MySQL 5.6 同样支持以 SSL 的方式进行连接,但是操作相对 5.7 较为复杂,用户需要自己通过 openssl 命令来创建各类公密钥,具体可以查看相关官方文档。

如果您觉得本站对你有帮助,那么可以支付宝扫码捐助以帮助本站更好地发展,在此谢过。

weixin_39913105
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql5.7加密密码_MySQL 5.7客户端服务端默认开启加密连接
weixin_33375038的博客
01-19 980
有这么一种需求,就是要求处理敏感字段,比如取出的密码或资金数据用 *** 来表示,那么 DBA 就无法看到这部分的私人数据内容。这本身是一个很不错的安全处理方式,但若 DBA 在本地装一个类似 tcpdump 的工具,则依然能够通过获取得到的包得到想要的数据。因此,除了在程序端进行展示的安全处理,还需在 MySQL 服务器端开启安全的加密通信功能,这时就是 SSL 发挥功能的时候了。MySQL 5...
怎么配置MySQL使用加密连接
最新发布
jkzyx123的博客
06-14 1022
配置MySQL使用加密连接完整过程
Mysql5.7.30 升级到最新版本Mysql8.0.27
无上haoyuan
01-24 6557
因为Oracle MySQL Server 远程执行代码漏洞(CVE-2022- 21278、CVE-2022-21351)Oracle MySQL Server 存在远程执行代码漏洞。 利用该漏洞的攻击者,可在目标主机执行恶意代码,进一步控制 主机。 需要对正在运行的mysql进行升级。 当前版面mysql5.7.30 ,目标升级版本为8.0.27 之前搭建的mysql版本设置可以看我上一个文章 CSDN 1.1 下载解压安装包 官网下载对应版本的tar包,可通过wget下载或者本地下载后上
mysql auto backup_AutoMySQLBackup 3.0在MySQL 5.7中的问题修复
weixin_42393621的博客
01-27 152
最近一个电子看板小项目上线,由于数据库非常小,而且数据也不太重要。因此未选择XtraBackup备份,打算用AutoMySQLBackup来备份,结果部署后测试发现,有一些小问题是之前解决过的。有一些是MySQL 5.7版本才有的。下面记录一下解决过程。关于AutoMySQLBackup的基础知识,参考我这篇博客。这里不做详细介绍。这里的MySQL版本: 5.7.30测试过程,备份日志出现下面告警...
mysql auto 修复_AutoMySQLBackup 3.0在MySQL 5.7中的问题修复
weixin_35097989的博客
01-27 171
最近一个电子看板小项目上线,由于数据库非常小,而且数据也不太重要。因此未选择XtraBackup备份,打算用AutoMySQLBackup来备份,结果部署后测试发现,有一些小问题是之前解决过的。有一些是MySQL 5.7版本才有的。下面记录一下解决过程。关于AutoMySQLBackup的基础知识,参考我这篇博客。这里不做详细介绍。这里的MySQL版本: 5.7.30测试过程,备份日志出现下面告警...
银河麒麟v10 二进制安装包 安装mysql 8.35
OceanWaves1993的博客
12-19 1781
命令顺序如下 安装包放在/root/package/mysql/mysql-8.0.35-linux-glibc2.28-x86_64.tar.xz。执行bin/mysqld --initialize --user=mysql 会打印出Mysql默认密码。选择如下 点击下载按钮 下载安装包。添加mysql的环境变量。修改Mysql默认密码。
银河麒麟_飞腾_MYSQL 离线安装包 mysql5.7_kylin_arm64.zip
07-16
总的来说,"银河麒麟_飞腾_MYSQL 离线安装包 mysql5.7_kylin_arm64.zip" 提供了一种在国产硬件上部署和使用MySQL数据库的有效途径,确保了数据服务的稳定运行,同时也满足了在特定环境下的安全需求。通过深入理解和...
银河麒麟amd64 MYSQL离线安装包 mysql5.7_kylin_amd64.zip
07-16
本离线安装包“mysql5.7_kylin_amd64.zip”是针对银河麒麟AMD64平台定制的MySQL 5.7数据库服务器的安装文件,确保在该平台上能够顺利安装和运行MySQLMySQL 5.7MySQL数据库的一个重要版本,它包含了多项改进...
银河麒麟兆芯MYSQL离线安装包mysql5.7_kylin_i386.zip
07-16
在这样的背景下,"银河麒麟兆芯MYSQL离线安装包mysql5.7_kylin_i386.zip" 是一个专为银河麒麟操作系统和兆芯处理器设计的MySQL 5.7数据库的离线安装包。这个包确保了在没有网络连接的情况下,用户也能在银河麒麟系统...
银河麒麟 armhf 架构 MYSQL离线安装包 mysql5.7_kylin_armhf.zip
07-16
离线安装包mysql5.7_kylin_armhf.zip则专门针对银河麒麟armhf平台进行了优化,确保在该平台上能够顺畅运行。 离线安装包的优点在于用户无需连接互联网即可进行安装,这对于网络环境不稳定或者有严格安全要求的场合...
mysql5.7 修改max_allowed_packet方法
03-24
### MySQL 5.7 中 max_allowed_packet 参数的理解与调整 #### 一、max_allowed_packet 参数简介 在MySQL数据库中,`max_allowed_packet` 参数用于控制客户端与服务器之间单个数据包的最大大小。此参数对诸如大BLOB...
mysql5.7.31_windows_64.zip
10-03
MySQL 5.7.31 for Windows 64-bit 的压缩包,其核心组件是 "mysql5.7.31_windows_64.msi",这是一个基于 Microsoft Installer(MSI)的安装程序,提供可视化的图形安装界面,方便在 Windows 操作系统和 Windows ...
mysql5.7.33_64位
07-17
1. **系统兼容性**:确保你的 Windows 10 操作系统是 64 位的,因为这是与 mysql5.7.33_64 位版本相匹配的。32 位系统无法运行这个软件包。 2. **安装步骤**:安装过程可以通过访问提供的链接...
mysql5.7.33_社区版.zip
04-25
- 安装 MySQL 5.7.33 时,用户需下载适用于 Windows 10 的安装包,即 "mysql5.7.33_社区版.zip",解压后按照向导进行安装。 - 配置过程中,需要设定服务器类型(开发机器、生产服务器等)、安装路径、服务名以及...
银河麒麟_龙芯_MYSQL离线安装包 mysql5.7_kylin_mips64el.zip
07-16
这个“银河麒麟_龙芯_MYSQL离线安装包 mysql5.7_kylin_mips64el.zip”文件是专为银河麒麟操作系统在龙芯处理器平台上搭建MySQL 5.7数据库环境而准备的。离线安装包意味着用户可以在没有网络连接的情况下进行MySQL的...
2020/06/03 安装mysql5.7.30
qq_42227818的博客
06-03 313
1.检测系统是否自带mysql [root@localhost /]# rpm -qa | grep mysql 2.如果是,则使用下面命令进行删除: [root@localhost /]# rpm -e --nodeps ‘上一步查找的名称’ 3.删除成功后,查询所有Mysql对应的文件夹,删除查找的所有文件夹 [root@localhost ~]# whereis mysql mysql: /usr/bin/mysql /usr/local/mysql [root@localhost ~]# fin
mysqlssl加密_MySQL服务器开启SSL加密功能
weixin_34754795的博客
01-19 1348
MySQL服务器开启SSL加密功能我们知道,MySQL5.7之前版本,安全性做的并不够好,比如安装时生成的root空密码账号、存在任何用户都能连接上的test库等,导致数据库存在较大的安全隐患。好在5.7版本对以上问题进行了一一修复。与此同时,MySQL 5.7版本还提供了更为简单SSL安全访问配置,且默认连接就采用SSL加密方式,这让数据库的安全性提高一个层次。环境IP主机名说明192.168...
mysql安全性特点_MySQL 5.7 学习心得之安全相关特性
weixin_29002191的博客
01-19 321
1,账号安全相关的特性1.1:创建用户5.7版本的用户表mysql.user要求plugin字段非空,且默认值是mysql_native_password认证插件,并且不再支持mysql_old_password认证插件。5.7用户长度最大为32字节,之前最大长度为16字节,并且CREATE USER 和 DROP USER 命令里实现了 IF [NOT] EXISTS 条件判断。5.7之后用户通...
mysql5.7 开启 events_transactions_
02-06
5. 连接 MySQL 并执行下面的命令来开启 events_transactions_history 功能: ``` INSTALL PLUGIN events_transactions_history SONAME 'events_transactions_history.so'; ``` 请注意,在 MySQL 5.7 中,events_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值