MySQL服务器开启SSL加密功能

时间 2019-11-07

原文原文链接

MySQL服务器开启SSL加密功能html

咱们知道，MySQL5.7以前版本，安全性作的并不够好，好比安装时生成的root空密码帐号、存在任何用户都能链接上的test库等，致使数据库存在较大的安全隐患。好在5.7版本对以上问题进行了一一修复。与此同时，MySQL 5.7版本还提供了更为简单SSL安全访问配置，且默认链接就采用SSL的加密方式，这让数据库的安全性提升一个层次。java

环境

IP	主机名	说明
192.168.1.101	node1	mysql服务端
192.168.1.102	node2	mysql客户端

一、SSL介绍

SSL（Secure Socket Layer：安全套接字层）利用数据加密、身份验证和消息完整性验证机制，为基于TCP等可靠链接的应用层协议提供安全性保证。node

SSL协议提供的功能主要有：
- 一、数据传输的机密性：利用对称密钥算法对传输的数据进行加密；
- 二、身份验证机制：基于证书利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份验证是可选的；
- 三、消息完整性验证：消息传输过程当中使用MAC算法来检验消息的完整性。

若是用户的传输不是经过SSL的方式，那么其在网络中数据都是以明文进行传输的，而这给别有用心的人带来了可乘之机。因此，如今不少大型网站都开启了SSL功能。一样地，在咱们数据库方面，若是客户端链接服务器获取数据不是使用SSL链接，那么在传输过程当中，数据就有可能被窃取。mysql

二、MySQL5.7 SSL配置和启用

官方安装文档linux

2.一、查看SSL开启状况

root@node1 19:58:  [(none)]> show global variables like '%ssl%';
+---------------+----------+
| Variable_name | Value    |
+---------------+----------+
| have_openssl  | DISABLED |
| have_ssl      | DISABLED |
| ssl_ca        |          |
| ssl_capath    |          |
| ssl_cert      |          |
| ssl_cipher    |          |
| ssl_crl       |          |
| ssl_crlpath   |          |
| ssl_key       |          |
+---------------+----------+
9 rows in set (0.01 sec)

root@node1 19:58:  [(none)]> status;
--------------
mysql  Ver 14.14 Distrib 5.7.22, for linux-glibc2.12 (x86_64) using  EditLine wrapper

Connection id:      4
Current database:
Current user:       root@localhost
SSL:            Not in use
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server version:     5.7.22-log MySQL Community Server (GPL)
Protocol version:   10
Connection:     Localhost via UNIX socket
Server characterset:    utf8mb4
Db     characterset:    utf8mb4
Client characterset:    utf8
Conn.  characterset:    utf8
UNIX socket:        /data/mysql/mysql3306.sock
Uptime:         6 min 9 sec

Threads: 1  Questions: 14  Slow queries: 0  Opens: 109  Flush tables: 1  Open tables: 103  Queries per second avg: 0.037
--------------

root@node1 19:59:  [(none)]>

由上可看出：目前MySQL服务没有开启SSL功能；算法

2.二、安装openssl

yum install openssl -y

2.三、关闭MySQL服务

systemctl stop mysqld

2.四、运行mysql_ssl_rsa_setup 命令,开启SSL链接

安装SSL,开启SSL链接sql

[root@node1 mysql]# ./bin/mysql_ssl_rsa_setup
Generating a 2048 bit RSA private key
.........................................+++
.............+++
writing new private key to 'ca-key.pem'
-----
Generating a 2048 bit RSA private key
....................................+++
.....................................+++
writing new private key to 'server-key.pem'
-----
Generating a 2048 bit RSA private key
.......................+++
..............................................................................+++
writing new private key to 'client-key.pem'
-----
[root@node1 mysql]#

典型的选项是--datadir指定建立文件的位置，以及--verbose查看mysql_ssl_rsa_setup执行的openssl命令。shell

当运行完这个命令后，默认会在$datadir目录下生成如下pem文件，这些文件就是用于启用SSL功能的：数据库

[root@node1 data]# ll *.pem
-rw------- 1 root root 1675 3月   8 18:34 ca-key.pem         # CA私钥
-rw-r--r-- 1 root root 1107 3月   8 18:34 ca.pem             # 自签的CA证书，客户端链接也须要提供
-rw-r--r-- 1 root root 1107 3月   8 18:34 client-cert.pem    # 客户端链接服务器端须要提供的证书文件
-rw------- 1 root root 1675 3月   8 18:34 client-key.pem     # 客户端链接服务器端须要提供的私钥文件
-rw------- 1 root root 1679 3月   8 18:34 private_key.pem    # 私钥/公钥对的私有成员
-rw-r--r-- 1 root root  451 3月   8 18:34 public_key.pem     # 私钥/公钥对的共有成员
-rw-r--r-- 1 root root 1107 3月   8 18:34 server-cert.pem    # 服务器端证书文件
-rw------- 1 root root 1675 3月   8 18:34 server-key.pem     # 服务器端私钥文件
[root@node1 data]# chown mysql:mysql *.pem                   # 到data_dir目录下修改.pem文件的所属权限用户为mysql
[root@node1 data]# ll *.pem
-rw------- 1 mysql mysql 1675 3月   8 18:34 ca-key.pem
-rw-r--r-- 1 mysql mysql 1107 3月   8 18:34 ca.pem
-rw-r--r-- 1 mysql mysql 1107 3月   8 18:34 client-cert.pem
-rw------- 1 mysql mysql 1675 3月   8 18:34 client-key.pem
-rw------- 1 mysql mysql 1679 3月   8 18:34 private_key.pem
-rw-r--r-- 1 mysql mysql  451 3月   8 18:34 public_key.pem
-rw-r--r-- 1 mysql mysql 1107 3月   8 18:34 server-cert.pem
-rw------- 1 mysql mysql 1675 3月   8 18:34 server-key.pem
[root@node1 data]#

2.五、配置文件启用加密链接

要为服务器启用加密链接，请在my.cnf 文件中使用这些行启动它，根据须要更改文件名：安全

[mysqld]
ssl-ca=ca.pem
ssl-cert=server-cert.pem
ssl-key=server-key.pem

2.六、启动MySQL服务

systemctl start mysqld

2.七、查看SSL证书的内容

要查看SSL证书的内容（例如，要检查其有效的日期范围），请直接调用 openssl：

openssl x509 -text -in ca.pem
openssl x509 -text -in server-cert.pem
openssl x509 -text -in client-cert.pem

也可使用如下SQL语句检查SSL证书过时信息：

root@node1 13:36:  [(none)]>  SHOW STATUS LIKE 'Ssl_server_not%';
+-----------------------+--------------------------+
| Variable_name         | Value                    |
+-----------------------+--------------------------+
| Ssl_server_not_after  | Mar  5 12:03:45 2029 GMT |
| Ssl_server_not_before | Mar  8 12:03:45 2019 GMT |
+-----------------------+--------------------------+
2 rows in set (0.01 sec)

root@node1 13:36:  [(none)]>

三、建立用户SSL/TLS选项

官方用户设置SSL/TLS选项文档

3.一、经常使用设置SSL/TLS语句

要为MySQL账户指定SSL/TLS相关选项，请使用REQUIRE指定一个或多个tls_option值的子句。

REQUIRE选项顺序可有可无，但不能指定选项两次。该AND关键字是可选之间REQUIRE选择。

CREATE USER容许这些 tls_option值：

NONE
表示该语句指定的全部账户都没有SSL或X.509要求。若是用户名和密码有效，则容许未加密的链接。若是客户端具备适当的证书和密钥文件，则能够在客户端选择使用加密链接。
```
CREATE USER 'username'@'localhost' REQUIRE NONE;
```

客户端默认尝试创建安全链接。对于具备REQUIRE NONE此功能的客户端，若是没法创建安全链接，则链接尝试将回退到未加密的链接。要求加密链接，客户端只需指定 --ssl-mode=REQUIRED 选项; 若是没法创建安全链接，则链接尝试失败。

NONE若是未REQUIRE指定与SSL相关的选项，则为默认值。

SSL
告知服务器仅容许该语句命名的全部账户的加密链接。
```
CREATE USER 'username'@'localhost' REQUIRE SSL;
```
客户端默认尝试创建安全链接。对于具备的账户，REQUIRE SSL若是没法创建安全链接，则链接尝试将失败。
X509
对于语句指定的全部账户，要求客户端提供有效证书，但确切的证书，颁发者和主题可有可无。惟一的要求是应该可使用其中一个CA证书验证其签名。使用X.509证书始终意味着加密，所以SSL在这种状况下不须要该选项。
```
CREATE USER 'username'@'localhost' REQUIRE X509;
```
对于账户REQUIRE X509，客户必须指定链接--ssl-key 和--ssl-cert选项。（建议但不要求 --ssl-ca也要指定，以即可以验证服务器提供的公共证书。）这是正确的ISSUER ，SUBJECT由于这些 REQUIRE选项意味着要求X509。

3.二、建立普通用户`user1`并强制普通用户必须使用SSL链接数据库

root@node1 20:12:  [(none)]> grant select,insert,update,delete on *.* to 'user1'@'%' identified by 'rootroot';
Query OK, 0 rows affected, 1 warning (0.01 sec)

root@node1 20:14:  [(none)]> flush privileges;
Query OK, 0 rows affected (0.01 sec)

root@node1 20:22:  [(none)]> alter user 'user1'@'%' require ssl;
Query OK, 0 rows affected (0.00 sec)

root@node1 20:14:  [(none)]> exit
Bye

mysql命令ssl选项：
- --ssl-mode=name SSL链接模式:禁用（DISABLED）,首选（PREFERRED）,须要（REQUIRED）,'VERIFY_CA','VERIFY_IDENTITY,默认开启；
- --ssl:已弃用,请改用--ssl-mode。开启ssl(on,1);关闭ssl(off,0);（默认为on;使用--skip-ssl禁用。）。

使用--ssl-mode=VERIFY_CA或 --ssl-mode=VERIFY_IDENTITY，客户端须要加密链接，并对服务器CA证书和（与VERIFY_IDENTITY）证书中的服务器主机名执行验证。

对于上面强制使用ssl链接的用户，若是不是使用ssl链接的就会报错，像下面这样：

[root@node1 mysql]# mysql -h 192.168.1.101 -uuser1 -p --ssl-mode=DISABLED
WARNING: --ssl is deprecated and will be removed in a future version. Use --ssl-mode instead.
Enter password:
ERROR 1045 (28000): Access denied for user 'user1'@'node1' (using password: YES)

[root@node1 mysql]# mysql -h 192.168.1.101 -uuser1 -p         # 默认开启SSL
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 13
Server version: 5.7.22-log MySQL Community Server (GPL)

Copyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

user1@node1 20:24:  [(none)]> show global variables like '%ssl%';
+---------------+-----------------+
| Variable_name | Value           |
+---------------+-----------------+
| have_openssl  | YES             |
| have_ssl      | YES             |    # 已经开启了SSL
| ssl_ca        | ca.pem          |
| ssl_capath    |                 |
| ssl_cert      | server-cert.pem |
| ssl_cipher    |                 |
| ssl_crl       |                 |
| ssl_crlpath   |                 |
| ssl_key       | server-key.pem  |
+---------------+-----------------+
9 rows in set (0.00 sec)

user1@node1 20:19:  [(none)]> status;
--------------
mysql  Ver 14.14 Distrib 5.7.22, for linux-glibc2.12 (x86_64) using  EditLine wrapper

Connection id:      6
Current database:
Current user:       user1@node1
SSL:            Cipher in use is DHE-RSA-AES256-SHA   # 表示该用户是采用SSL链接到mysql服务器上的，若是不是ssl，那么会显示“Not in use“
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server version:     5.7.22-log MySQL Community Server (GPL)
Protocol version:   10
Connection:     192.168.1.101 via TCP/IP
Server characterset:    utf8mb4
Db     characterset:    utf8mb4
Client characterset:    utf8
Conn.  characterset:    utf8
TCP port:       3306
Uptime:         11 min 15 sec

Threads: 1  Questions: 27  Slow queries: 0  Opens: 118  Flush tables: 1  Open tables: 111  Queries per second avg: 0.040
--------------

user1@node1 20:19:  [(none)]>

注意：若是用户是采用本地localhost或者sock链接数据库，那么不会使用SSL方式了。

3.三、要求ssl+秘钥登陆

mysql服务端添加秘钥登录：

root@node1 11:52:  [(none)]> alter user 'java'@'%' require x509;

把客户端证书和私钥：server-cert.pem和server-key.pem或者服务端证书和私钥：client-cert.pem和client-key.pem，从mysql服务端服务器复制到客户端服务器,而后使用ssl+秘钥登陆：

[root@NUC-9 ~]# mysql -h 192.168.0.148 -ujava -prootroot --ssl-mode=REQUIRED -e "show databases;"
mysql: [Warning] Using a password on the command line interface can be insecure.
ERROR 1045 (28000): Access denied for user 'java'@'192.168.0.68' (using password: YES)
[root@NUC-9 ~]# mysql -h 192.168.0.148 -ujava -prootroot --ssl-mode=REQUIRED  --ssl-cert=server-cert.pem  --ssl-key=server-key.pem -e "show databases;"
mysql: [Warning] Using a password on the command line interface can be insecure.
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| sys                |
| test               |
+--------------------+
[root@NUC-9 ~]# mysql -h 192.168.0.148 -ujava -prootroot --ssl-mode=REQUIRED --ssl-cert=client-cert.pem  --ssl-key=client-key.pem -e "show databases;"
mysql: [Warning] Using a password on the command line interface can be insecure.
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| sys                |
| test               |
+--------------------+
[root@NUC-9 ~]#

四、未使用SSL和使用SSL安全性对比

4.一、安装tshark命令(wireshark)抓包工具

直接安装tshark

[root@node1 ~]# yum install tshark
已加载插件：fastestmirror
Loading mirror speeds from cached hostfile
* base: mirrors.aliyun.com
* extras: mirrors.aliyun.com
* updates: mirrors.aliyun.com
没有可用软件包 tshark。
错误：无须任何处理

使用yum搜索tshark命令的安装包

[root@node1 ~]# yum whatprovides *tshark*
已加载插件：fastestmirror
Loading mirror speeds from cached hostfile
 * base: mirrors.aliyun.com
 * extras: mirrors.aliyun.com
 * updates: mirrors.aliyun.com
1:bash-completion-extras-2.1-11.el7.noarch : Additional programmable completions for Bash
源    ：epel
匹配来源：
文件名    ：/usr/share/bash-completion/completions/tshark

wireshark-1.10.14-16.el7.i686 : Network traffic analyzer
源    ：base
匹配来源：
文件名    ：/usr/sbin/tshark
文件名    ：/usr/share/wireshark/tshark.html
文件名    ：/usr/share/man/man1/tshark.1.gz

wireshark-1.10.14-16.el7.x86_64 : Network traffic analyzer
源    ：base
匹配来源：
文件名    ：/usr/sbin/tshark
文件名    ：/usr/share/wireshark/tshark.html
文件名    ：/usr/share/man/man1/tshark.1.gz

wireshark-1.10.14-16.el7.x86_64 : Network traffic analyzer
源    ：@base
匹配来源：
文件名    ：/usr/sbin/tshark
文件名    ：/usr/share/wireshark/tshark.html
文件名    ：/usr/share/man/man1/tshark.1.gz

发现wireshark包有tshark命令；

安装wireshark包

[root@node1 ~]# yum install wireshark -y
已加载插件：fastestmirror
Loading mirror speeds from cached hostfile
 * base: mirrors.aliyun.com
 * extras: mirrors.aliyun.com
 * updates: mirrors.aliyun.com
软件包 wireshark-1.10.14-16.el7.x86_64 已安装而且是最新版本
无须任何处理
[root@node1 ~]#

yum install wireshark -y

4.二、建立普通用户`user2`不强制使用SSL链接数据库

root@node1 20:12:  [(none)]> grant select,insert,update,delete on *.* to 'user2'@'%' identified by 'rootroot';
Query OK, 0 rows affected, 1 warning (0.01 sec)

root@node1 20:14:  [(none)]> flush privileges;
Query OK, 0 rows affected (0.01 sec)

4.三、未使用SSL状况：

在客户端机器(192.168.1.102)上链接数据库并进行show database操做，使用--ssl-mode=DISABLED关闭SSL

[root@node2 ~]# mysql -h 192.168.1.101 -uuser2 -prootroot --ssl-mode=DISABLED  -e "show databases;"
mysql: [Warning] Using a password on the command line interface can be insecure.
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| sys                |
+--------------------+
[root@node2 ~]#

同时在MySQL服务器端(192.168.1.101)上用tshark进行抓包：

[root@node1 ~]# tshark -i ens33 -Y 'tcp.port == 3306 && mysql.query' -T fields -e frame.time -e 'ip.src' -e 'mysql.query'
Running as user "root" and group "root". This could be dangerous.
Capturing on 'ens33'
"Mar 11, 2019 11:07:20.651700295 CST"   192.168.0.68    select @@version_comment limit 1
"Mar 11, 2019 11:07:20.652402246 CST"   192.168.0.68    show databases

4.四、使用SSL状况：

在客户端机器(192.168.1.102)上链接数据库并进行insert操做，使用--ssl-mode=REQUIRED指定SSL

[root@node2 ~]# mysql -h 192.168.1.101 -uuser2 -prootroot --ssl-mode=REQUIRED  -e "show databases;"
mysql: [Warning] Using a password on the command line interface can be insecure.
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| sys                |
+--------------------+
[root@node2 ~]#

同时在MySQL服务器端(192.168.1.101)上再次用tshark进行抓包：

[root@node1 ~]# tshark -i ens33 -Y 'tcp.port == 3306 && mysql.query' -T fields -e frame.time -e 'ip.src' -e 'mysql.query'
Running as user "root" and group "root". This could be dangerous.
Capturing on 'ens33'

结论:没有抓到该语句，采用SSL加密后，tshark抓不到数据，安全性高。

五、使用SSL先后性能对比(QPS)

服务器配置：CPU:32核心内存:128G 磁盘：SSD

为了尽可能准确测试QPS，采用全内存查询，由于咱们线上热点数据基本都在内存中；按照并发线程数分类：1线程、4线程、8线程、16线程、24线程、32线程、64线程；

具体数据以下：

从测试数据能够发现，开启SSL后，数据库QPS平均下降了23%左右，相对仍是比较影响性能的。从SSL实现方式来看，创建链接时须要进行握手、加密、解密等操做。因此耗时基本都在创建链接阶段，这对于使用短连接的应用程序可能产生更大的性能损耗，好比采用PHP开发。不过若是使用链接池或者长链接可能会好许多。

六、总结

一、MySQL5.7默认是开启SSL链接，若是强制用户使用SSL链接，那么应用程序的配置也须要明确指定SSL相关参数，不然程序会报错。
二、虽然SSL方式使得安全性提升了，可是相对地使得QPS也下降23%左右。因此要谨慎选择：
- 2.一、对于很是敏感核心的数据，或者QPS原本就不高的核心数据，能够采用SSL方式保障数据安全性；
- 2.二、对于采用短连接、要求高性能的应用，或者不产生核心敏感数据的应用，性能和可用性才是首要，建议不要采用SSL方式；

参考

https://www.cnblogs.com/mysql-dba/p/7061300.html
官方使用文档