数据库会遭受多种攻击方式,例如,SQL注入、利用缓冲区错误、暴力破解、及网络窃听等等。这一篇主要介绍关于MySQL如何防止网络窃听的方法。
MySQL防止网络窃听主要的方法是在所有的连接和传输时都要进行加密,使用SSL/TLS(Secure Socket Layer/ Transport Layer Security)。加密后的传输内容无法被窃听者读取。MySQL的SSL/TSL基于 OpenSSL API实现。MySQL中的许多选项和变量都涉及SSL,但实际上它使用的是更为安全的TLS,包括验证身份、检测传输中的更改及防止重放等机制在内。
TLS通过加密算法保证从公共网络接收到的数据是可信的,并能够检查数据是否有更改、丢失或被重放,此外,TLS还结合了使用X509标准提供身份验证的算法。
X509可以通过使用证书CA识别来自互联网的用户,证书依赖于具有公钥和私钥的非对称加密算法,证书的持有者可以向另一方出示证书作为身份证明,证书包含所有者的公钥,通过公钥加密的数据,仅能够给通过对应的私钥进行解密,私钥仅保存在证书的持有者手中。
MySQL包含OpenSSL库用以支持 TLSv1,TLSv1.1,TLSv1.2 及TLSv1.3。用户可以通过查看“Ssl_version”和“Ssl_cipher”状态变量确认MySQL当前使用哪种加密协议及密码。
一些应用程序需要使用安全连接提供的额外安全性,因此,MySQL可以基于每个连接决定是否启用安全连接方式,并可以对每个用户强制或作为选项启用。
MySQL建立安全连接的过程如下:
-
客户端发起一个连接至服务器的安全连接
-
服务器提供数字证书给客户端用以识别服务器及提供服务器的公钥
-
客户端决定会话密钥,并使用服务器的公钥加密传输到服务器
-
服务器用私钥解密客户端传至服务器的会话密钥
-
此时,该会话密钥仅客户端和服务器持有
-
其他会话使用该会话密钥进行加密解密传输内容
-
SSL包括检测修改并防止回放的机制
生成数字证书
使用SSL时,服务器必须具有一个由凭据管理中心CA发行,基于X509格式的数字证书。CA验证服务器并提供用于非对称加密的公钥/私钥,CA可以是一个第三方组织,或者由服务器充当CA提供自签名的数字证书。MySQL可以作为CA并生成自签名的证书。如果MySQL启用了SSL,并且服务器满足OpenSSL的要求,当服务器启动时,会自动检查数字证书,如果证书不存在,会生成新的证书。用户也可以使用"mysql_ssl_rsa_setup"生成数字证书文件,通过使用不同的选项,满足用户对证书的需求。
默认情况下,服务器开启了SSL,用户可以通过“SHOW VARIABLES LIKE 'have_ssl'”查看是否开启。如果需要禁用MySQL服务器的SSL,在启动MySQL时,需要执行选项"--ssl=0"或“--skip-ssl”。
当客户端使用TCP/IP协议连接MySQL服务器时,默认开启了SSL。可以在mysql shell下执行“\status”查看当前SSL状态,例如,
MySQL 127.0.0.1:3350 ssl SQL > \status
MySQL Shell version 8.0.28-commercial
Connection Id: 47
Current schema:
Current user: root@localhost
SSL: Cipher in use: TLS_AES_256_GCM_SHA384 TLSv1.3
Using delimiter: ;
Server version: 8.0.30-commercial MySQL Enterprise Server - Commercial
Protocol version: Classic 10
Client library: 8.0.28
Connection: 127.0.0.1 via TCP/IP
TCP port: 3350
Server characterset: utf8mb4
Schema characterset: utf8mb4
Client characterset: utf8mb4
Conn. characterset: utf8mb4
Result characterset: utf8mb4
Compression: Disabled
Uptime: 104 days 21 hours 31 min 22.0000 sec
Threads: 2 Questions: 984 Slow queries: 36 Opens: 623 Flush tables: 4 Open tables: 328 Queries per second avg: 0.000
此外,客户端可以通过“--ssl-mode”选项设定不同的安全连接,该选项值包括如下:
-
PERFERRED:可能的情况下建立一个安全连接,否则建立一个非安全连接
-
DISABLED:建立非安全连接
-
REQUIRED:建立一个安全连接,无法建立时,则失败。
-
VERIFY_CA:包含“REQUIRED”的要求,但是需要验证服务器的CA数字签名
-
VERIFY_IDENTITY:包含“VERIFY_CA”的要求,但是需要验证签名是否匹配MySQL服务器的主机
例如,关闭SSL
$ mysqlsh --ssl-mode=DISABLED root@127.0.0.1:3350
MySQL 127.0.0.1:3350 JS > \sql
Switching to SQL mode... Commands end with ;
MySQL 127.0.0.1:3350 SQL > SHOW VARIABLES LIKE 'have_ssl';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_ssl | YES |
+---------------+-------+
1 row in set (0.0023 sec)
MySQL 127.0.0.1:3350 SQL > \status
MySQL Shell version 8.0.28-commercial
Connection Id: 49
Current schema:
Current user: root@localhost
SSL: Not in use.
Using delimiter: ;
Server version: 8.0.30-commercial MySQL Enterprise Server - Commercial
Protocol version: Classic 10
Client library: 8.0.28
Connection: 127.0.0.1 via TCP/IP
TCP port: 3350
Server characterset: utf8mb4
Schema characterset: utf8mb4
Client characterset: utf8mb4
Conn. characterset: utf8mb4
Result characterset: utf8mb4
Compression: Disabled
Uptime: 104 days 21 hours 45 min 48.0000 sec
Threads: 2 Questions: 996 Slow queries: 36 Opens: 627 Flush tables: 4 Open tables: 332 Queries per second avg: 0.000
从输出的内容可以看出,当前客户端并没有使用SSL。
配置安全连接的加密算法
为服务器和客户端配置复杂的算法及足够长的密钥可以增加安全性,可以通过“--ssl-cipher”选项指定允许使用的加密算法,选项值可以包含多个,用“:”分割。例如,
--ssl-cipher=DHE-RSA-AES256-SHA:AES128-SHA
“--ssl-cipher”选项配置包括一个全局系统变量及两个会话状态变量,例如,
MySQL 127.0.0.1:3350 ssl SQL > SHOW GLOBAL VARIABLES LIKE 'ssl_cipher';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| ssl_cipher | |
+---------------+-------+
1 row in set (0.0020 sec)
MySQL 127.0.0.1:3350 ssl SQL > SHOW SESSION STATUS LIKE 'Ssl_cipher';
+---------------+------------------------+
| Variable_name | Value |
+---------------+------------------------+
| Ssl_cipher | TLS_AES_256_GCM_SHA384 |
+---------------+------------------------+
1 row in set (0.0012 sec)
全局系统变量“ssl_cipher”表示允许使用的加密算法,如果未指定该选项,则显示空白,意味着可以使用MySQL支持的任何加密算法。“Ssl_cipher”会话状态变量显示当前会话使用的加密算法。
按用户配置客户端选项
在创建用户或者更改用户语句里,使用“REQUIRE语句”可以为不同的用户指定是否使用SSL/TLS。选项值包括如下:
-
NONE:默认值,用户没有SSL或X509要求,可以使用安全连接或不安全连接
-
SSL:用户必须使用安全连接
-
X509:用户从客户端必须使用数字证书进行安全连接
-
ISSUER:用户从客户端必须使用有指定CA发行的证书进行连接
-
SUBJECT:用户必须使用安全连接从客户端连接,并要求数字前面指定的“subjecg”区域识别证书的所有者
-
CIPHER:用户必须使用指定加密算法的安全连接
例如,
ALTER USER user1@localhost REQUIRE SSL;
ALTER USER user2@localhost REQUIRE X509;
ALTER USER user3@localhost REQUIRE CIPHER 'DHE-RSA-AES256-SHA';
以上内容是关于创建MySQL安全连接的介绍,安全连接可以避免MySQL遭受网络窃听,防止数据信息泄露。感谢您关注“MySQL解决方案工程师”。