MySQL实验之-表空间加密插件Keyring

最新推荐文章于 2024-03-04 15:51:41 发布
最新推荐文章于 2024-03-04 15:51:41 发布
阅读量464 收藏 1
点赞数
分类专栏: MySQL 开源软件 文章标签: mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44496870/article/details/129927190
版权
本文详细介绍了在MySQL环境中使用Keyring_file插件进行数据加密的操作步骤,包括安装配置、加密解密操作、Redo和Undo日志加密,以及加密秘钥的轮换。此外,还提到了从库配置的不同选项以及如何监控加密进度。
摘要由CSDN通过智能技术生成

2021.09.9 8.0.26测试环境实操

安装

mkdir -p /usr/local/mysql/keyring
chown -R mysql.mysql /usr/local/mysql/keyring

修改配置文件,配置文件中增加

early-plugin-load=keyring_file.so
keyring_file_data=/usr/local/mysql/keyring/keyring

重启数据库验证

mysql> select * from information_Schema.plugins where plugin_name like '%keyring_file%'\G
*************************** 1. row ***************************
PLUGIN_NAME: keyring_file
PLUGIN_VERSION: 1.0
PLUGIN_STATUS: ACTIVE
PLUGIN_TYPE: KEYRING
PLUGIN_TYPE_VERSION: 1.1
PLUGIN_LIBRARY: keyring_file.so
PLUGIN_LIBRARY_VERSION: 1.10
PLUGIN_AUTHOR: Oracle Corporation
PLUGIN_DESCRIPTION: store/fetch authentication data to/from a flat file
PLUGIN_LICENSE: GPL
LOAD_OPTION: ON
1 row in set (0.00 sec)
mysql> show global variables like '%keyring%';
+--------------------+----------------------------------+
| Variable_name | Value |
+--------------------+----------------------------------+
| keyring_file_data | /usr/local/mysql/keyring/keyring |
| keyring_operations | ON |
+--------------------+----------------------------------+
2 rows in set (0.01 sec)

查看文件已经生成

ls -l /usr/local/mysql/keyring/keyring

准备测试对象

create database test;
use test
create table t7 ( c1 int);
insert into t7 values (1),(2);
create table t2 ( c1 varchar(100));
insert into t2 values('12345');
-- 加密操作
alter table t7 encryption='Y';
alter table t2 encryption='Y';
alter database test DEFAULT ENCRYPTION = 'Y';
alter tablespace mysql ENCRYPTION = 'Y';
-- 取消加密
alter table t2 encryption='N';
alter table t7 encryption='N';
alter database test DEFAULT ENCRYPTION = 'N';
alter tablespace mysql ENCRYPTION = 'N';
-- 查看元数据
SELECT PLUGIN_NAME, PLUGIN_STATUS FROM information_schema.PLUGINS WHERE PLUGIN_NAME LIKE 'keyring%'; -- 查看插件 ACTIVE 状态
SELECT * FROM performance_schema.keyring_keys; -- 查看存在的key INNODB Key-d115aafd-0ccb-11ec-af11-000c29644ab2-1
-- 查看加密对象
SELECT SPACE, NAME, SPACE_TYPE, ENCRYPTION FROM information_schema.INNODB_TABLESPACES WHERE ENCRYPTION='Y'; -- 加密表空间 mysql: general, test/t7, test/t2: single
SELECT TABLE_SCHEMA, TABLE_NAME, CREATE_OPTIONS FROM information_schema.TABLES WHERE CREATE_OPTIONS LIKE '%ENCRYPTION=\'Y\'%'; -- 查看加密表: mysql库 35个, test库2个
SELECT SCHEMA_NAME, DEFAULT_ENCRYPTION FROM information_schema.SCHEMATA WHERE DEFAULT_ENCRYPTION='YES'; -- 查看加密数据库: test 1个

启用 redo/undo 加密

从 MySQL 8.0.23 版本开始,支持对 DoubleWrite 文件页的加密, 这一特性无需单独配置. MySQL 会自动加密属于加密表的双写文件页

支持通过配置 innodb_redo_log_encrypt 选项对 Redo 日志进行加密, 默认禁用. 启用 innodb_redo_log_encrypt 后原 Redo 日志中未加密页面保持未加密状态, 新产生的 Redo 日志页面以加密形式写入; 反之亦然. 加密 Metadata 存放在 ib_logfile0 文件 header 中

支持通过配置 innodb_undo_log_encrypt 选项对 Undo 日志进行加密, 默认禁用. 启用 innodb_undo_log_encrypt 后原 Undo 日志中未加密页面保持未加密状态, 新产生的 undo 日志页面以加密形式写入; 反之亦然. 加密 Metadata 存放在 Undo 日志文件 header 中

set global innodb_redo_log_encrypt = on;
set global innodb_undo_log_encrypt = on;
set PERSIST innodb_redo_log_encrypt = on;
set PERSIST innodb_undo_log_encrypt = on;

加密秘钥轮换

加密秘钥应该定期轮换, 轮换操作是原子的实例级别的操作. 每次轮换主加密密钥时, MySQL 实例中的所有表空间密钥都会重新加密并保存回各自的表空间表头. 如果轮换操作被服务器故障中断, 重启后将会做前滚操作

轮换操作只会更新主秘钥并重新加密表空间秘钥, 并不会重新解密并加密表空间数据

轮换操作需要 Super 权限或 ENCRYPTION_KEY_ADMIN 权限;语句如下:

ALTER INSTANCE ROTATE INNODB MASTER KEY;

成功的 ALTER INSTANCE ROTATE INNODB MASTER KEY 语句将写入二进制日志以在副本上进行复制

请确保对主秘钥进行备份 (在创建和轮换后), 否则可能无法恢复加密表空间中的数据

实验验证

SELECT * FROM performance_schema.keyring_keys; -- 多了一条记录 INNODBKey-d115aafd-0ccb-11ec-af11-000c29644ab2-2
-- 通过 Performance Schema 监控加密进度
USE performance_schema;
UPDATE setup_instruments SET ENABLED = 'YES' WHERE NAME LIKE 'stage/innodb/alter tablespace (encryption)'; -- 打开stage/innodb/alter tablespace (encryption) instrument
UPDATE setup_consumers SET ENABLED = 'YES' WHERE NAME LIKE '%stages%'; -- 启用the stage event consumer tables, 包括events_stages_current, events_stages_history, and events_stages_history_long
ALTER TABLESPACE mysql ENCRYPTION = 'Y'; -- 执行一个加密操作
select * from events_stages_current; -- 查询加密操作的进度 WORK_ESTIMATED 报告表空间中的总页数. WORK_COMPLETED 报告处理的页数. 如果加密操作已完成, events_stages_current 表将返回一个空集
SELECT event_name, work_completed, work_estimated FROM events_stages_history; -- 查看已完成操作的事件数据

从库配置

执行安装步骤, 建立文件夹和启用插件, 从库可以选择启用或不启用 innodb_redo_log_encrypt 和 innodb_undo_log_encrypt

例如 我的测试环境

3307 -> 3307 主从启用了加密,

3308 -> 3308 主从未启用加密,

均同步正常

贺浦力特
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MySQL 整表加密解决方案 keyring_file详解
09-09
MySQL 整表加密解决方案的关键在于使用了keyring_file插件,该插件MySQL 5.7.11版本开始引入,旨在为用户提供一种在数据库级别实现数据加密的方法。keyring_file利用本地文件系统存储加密密钥,这些密钥用于加密和...
MySQL加密是鸡肋吗?
missyoustill的专栏
03-06 1068
MySql社区版从5.7.11开始支持基于表的数据加密方案,模块名为keyring_file,支持加密整张表。这种是加密方式其实是基于文件加密的,一旦mysqld读取key启动后,将会解密整张表的数据,在mysql服务内,读取的数据都是解密后的,也就是说对客户端而言是无感知的。而这个key是本地存放的,mysql服务拥有读写这个key的权限。 针对已有的项目面对客户的安全审查需求,要对mysql进行表加密吗? 表加密影响性能吗? 对主从复制有没有影响?加密后对业务系统有影响吗? 对备份恢复有没有性能
MySQL加密插件安装
weixin_44833186的博客
08-01 493
MySQL加密插件安装
mysql客户端加密_MySQL 整表加密解决方案 keyring_file详解
weixin_32799203的博客
02-02 754
说明MySql社区版从5.7.11开始支持基于表的数据加密方案,模块名为keyring_file,支持加密整张表。这种是加密方式其实是基于文件加密的,一旦mysqld读取key启动后,将会解密整张表的数据,在mysql服务内,读取的数据都是解密后的,也就是说对客户端而言是无感知的。而这个key是本地存放的,mysql服务拥有读写这个key的权限。总体看这种方案不太安全,原因是数据库文件是加密的,但...
mysql 表空间加密_mysql表空间加密 keyring encryption
weixin_39886929的博客
01-19 244
从5.7.11开始,mysql开始支持物理表空间加密,它使用两层加密架构。包括:master key 和 tablespace keymaster key用于加密tablespace key加密后的结果存储在tablespace的header中。tablespace key用于加密数据当用户想访问加密的表时,innoDB会先用master key对之前存储在header中的加密信息进行解密,得...
mysql 表空间加密_MySQL InnoDB表空间加密
weixin_27256197的博客
01-19 396
MySQL5.7.11开始,MySQL对InnoDB支持存储在单独表空间中的表的数据加密 。此功能为物理表空间数据文件提供静态加密。该加密是在引擎内部数据页级别的加密手段,在数据页写入文件系统时加密加密用的是AES算法,而其解密是在从文件读到内存中时进行。1 配置加密插件1.1 修改配置文件在mysql配置文件【mysqld】x项中添加如下内容plugin_dir=/usr/local/m...
MySQL InnoDB表空间加密示例详解
09-08
MySQL InnoDB表空间加密是一种重要的安全特性,它允许数据库管理员对存储在独立表空间中的数据进行静态加密。从MySQL 5.7.11版本开始,InnoDB引擎引入了这一功能,以保护敏感数据免受未经授权的访问。下面将详细介绍...
解决MySQL Workbench gnome-keyring-daemon错误的方法分享
09-10
然而,在某些Linux发行版,如Fedora,用户可能会遇到与gnome-keyring-daemon相关的错误,这会导致MySQL Workbench无法正常存储密码到系统钥匙环,进而影响数据库的连接。gnome-keyring-daemon是GNOME桌面环境中的一...
mysql表空间加密
他山之石 可以攻玉
08-28 677
1)登陆mysql mysql -u root -p 2)安装keyring插件 INSTALL PLUGIN keyring_file soname 'keyring_file.so'; 3)查看keyring插件 show global variables like '%keyring_file_data%'; show plugins; 4)创建加密表 create table test1( -> id int primary key auto_in
mysql文件上锁_MySQL 整表加密解决方案 keyring_file详解
weixin_36475451的博客
01-18 488
说明MySql社区版从5.7.11开始支持基于表的数据加密方案,模块名为keyring_file,支持加密整张表。这种是加密方式其实是基于文件加密的,一旦mysqld读取key启动后,将会解密整张表的数据,在mysql服务内,读取的数据都是解密后的,也就是说对客户端而言是无感知的。而这个key是本地存放的,mysql服务拥有读写这个key的权限。总体看这种方案不太安全,原因是数据库文件是加密的,但...
mysql keyring file_mysql8 参考手册--Keyring插件安装
weixin_39609354的博客
01-27 979
密钥环服务使用者需要安装密钥环插件MySQL提供了以下插件选择:keyring_file:一个将密钥环数据存储在服务器主机本地文件中的插件。在所有MySQL发行版中均可用。keyring_encrypted_file:一个插件,用于将密钥环数据存储在服务器主机本地的加密文件中。在MySQL企业版发行版中可用。keyring_okv:使用KMIP兼容的后端密钥环存储产品(例如Oracle Key ...
深入解析数据库透明加密技术
夜未眠风已息
03-30 3827
几种数据库透明加密方式的总结
MySQL 8.0.35 企业版安装和启用TDE插件keyring_encrypted_file
最新发布
一个标题
03-04 570
MySQL企业版安装和启用TDE插件keyring_encrypted_file
Windows环境下使用MySQL 5.7版本的keyring_file插件设置表空间加密的详细步骤
weixin_45332660的博客
07-19 393
其中,keyring_file.dll是keyring_file插件的文件名,keyring_file_data指定keyring文件的存储路径。以上就是在Windows环境下使用MySQL 5.7版本的keyring_file插件设置表空间加密的详细步骤。如果输出结果中包含“ENCRYPTION=‘Y’”,则表示加密成功。其中,ENCRYPTION='Y’指定启用加密
mysql keyring file_mysql8 参考手册--使用基于文件的keyring_file插件
weixin_32120857的博客
01-19 700
keyring_file插件是一个密钥环插件,用于将密钥环数据存储在服务器主机本地的文件中。警告该keyring_file加密密钥管理插件不打算作为一个合规性解决方案。PCI,FIPS等安全性标准要求使用密钥管理系统来保护,管理和保护密钥库或硬件安全模块(HSM)中的加密密钥。要安装keyring_file插件,请使用第6.4.4.1节“密钥环插件安装”中的常规密钥环安装说明 ,以及keyring...
MySQL连接、SSL加密与密码插件
pass_x的博客
04-08 1433
一、连接Mysql实例 几种连接方式 通过本地socket套接字进行连接 语法:mysql -S /tmp/mysql.sock -u root -p 通常客户端和服务端在同一台服务器上,默认使用套接字连接,套接字不在配置文件中指定,则默认在/tmp/mysql.sock路径 查看socket变量 (root@localhost) [(none)]> show variables like 'socket'; +---------------+-----------------+ | Var
mysql表空间加密 keyring encryption
weixin_33975951的博客
07-01 1853
从5.7.11开始,mysql开始支持物理表空间加密,它使用两层加密架构。包括:master key 和 tablespace key master key用于加密tablespace key加密后的结果存储在tablespace的header中。tablespace key用于加密数据当用户想访问加密的表时,innoDB会先用master key对之前存储在header中的加密信息进行解密...
rm: 无法删除'/usr/share/keyrings/nvidia-container-toolkit-keyring.gpg': 没有那个文件或目录
06-03
这个错误提示表示你尝试删除`/usr/share/keyrings/nvidia-container-toolkit-keyring.gpg`这个文件,但是该文件不存在。这可能是由于你之前已经删除了该文件,或者该文件从未存在过。为了解决这个问题,你可以尝试跳过第一步,直接进行第二步和第三步的操作,即更新APT软件包缓存并重新安装`libnvidia-container`: ``` sudo apt update sudo apt install libnvidia-container ``` 这样应该可以解决你在使用`libnvidia-container`时遇到的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

贺浦力特

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值