MySQL的SSL加密链接与性能开销

本文转载自:http://www.innomysql.net/article/23959.html
(只做转载, 不表明本站和博主赞成文中观点或证明文中信息)

Contents [hide]

• 1 前言
• 2 何为SSL
• 3 MySQL 5.7的SSL配置与使用
• 4 SSL性能测试
• 5 总结

前言

在生产环境下，安全老是没法忽视的问题，数据库安全则是重中之重，由于全部的数据都存放在数据库中。MySQL在5.7版本以前对于安全问题的确考虑并不充分，致使存在比较大的隐患，好比下面的这些问题，可能有些小伙伴知道，有些却还不知道：
1.MySQL数据库默认安装的用户密码为空
2.全部用户拥有对于MySQL默认安装test数据库的访问权限（即便没有授予权限）

好在Oracle官方也已经意识到安全的重要性，MySQL 5.7开始安装完成后的root用户的密码再也不是空，而是在安装时随机产生一个密码，这也致使了用户安装5.7时发现的与5.6版本比较大的一个不一样点。其次，官方已经删除了test数据库，默认安装完后是没有test数据库的。更为重要的是，MySQL 5.7版本提供了更为简单SSL安全访问配置，而且默认链接就采用SSL的加密方式。

何为SSL

首先看下维基百科是如何定义SSL的：

Transport Layer Security (TLS) and its predecessor, Secure Sockets Layer (SSL), both of which are frequently referred to as ‘SSL’, are cryptographic protocols designed to provide communications security over a computer network.

从上面的定义来看，SSL指的是SSL/TLS，其是一种为了在计算机网络进行安全通讯的加密协议。假设用户的传输不是经过SSL的方式，那么其在网络中以明文的方式进行传输，而这给别有用心的人带来了可乘之机。因此，如今不少网站其实默认已经开启了SSL功能，好比Facebook、Twtter、YouTube、淘宝等。

在数据库领域，以前Inside君去某公司作技术交流时，该公司介绍其运维平台可以对一些敏感字段作处理，好比取出的密码或资金数据用***来表示，那么DBA就没法看到这部分的私人数据内容。这自己是一个很不错的安全处理方式，但若DBA在本地装一个相似tcpdump的工具，则依然可以经过获取获得的包获得想要的数据。所以，除了在程序端进行展现的安全处理，还需在MySQL服务器端开启安全的加密通讯功能，这时就是SSL发挥功能的时候了。

MySQL 5.7的SSL配置与使用

若是仔细阅读MySQL 5.7的安装文档INSTALL-BINARY，会发现5.7的安装文档在初始化数据目录以后还额外多作了一个操做，这是以前版本所没有的操做，而该步骤便是对于SSL的安装与配置：

1 2 3 4

...... shell> bin /mysqld --initialize --user=mysql shell> bin /mysql_ssl_rsa_setup ......

运行完命令mysql_ssl_rsa_setup后会发现数据目录下多出了一些以pem结尾的文件，而这些文件就是开启SSL链接所须要的文件：

1 2 3 4 5 6 7 8 9

root@ test -1: /usr/local/mysql/data # ls -lh *.pem -rw------- 1 mysql mysql 1.7K Nov 25 14:12 ca-key.pem -rw-r--r-- 1 mysql mysql 1.1K Nov 25 14:12 ca.pem -rw-r--r-- 1 mysql mysql 1.1K Nov 25 14:12 client-cert.pem -rw------- 1 mysql mysql 1.7K Nov 25 14:12 client-key.pem -rw------- 1 mysql mysql 1.7K Nov 25 14:12 private_key.pem -rw-r--r-- 1 mysql mysql  451 Nov 25 14:12 public_key.pem -rw-r--r-- 1 mysql mysql 1.1K Nov 25 14:12 server-cert.pem -rw------- 1 mysql mysql 1.7K Nov 25 14:12 server-key.pem

若这时启动MySQL数据库并启动应该能够发现以下状态：

1 2 3 4 5 6 7

mysql>SHOW VARIABLES LIKE  'have_ssl' ; +---------------+-------+ | Variable_name | Value | +---------------+-------+ | have_ssl      | YES   | +---------------+-------+ 1 row  in set (0.00 sec)

该参数表示MySQL服务器开启了SSL功能，而在MySQL 5.7版本下默认就会使用SSL的方式来进行链接，好比：

1 2 3 4 5 6 7 8 9

root@ test -1:~ # mysql -h10.166.224.32 -udavid mysql> \s -------------- mysql  Ver 14.14 Distrib 5.7.9,  for linux-glibc2.5 (x86_64) using  EditLine wrapper Connection  id :      6119 Current database: Current user:       david@10.166.224.32 SSL:            Cipher  in use is DHE-RSA-AES256-SHA ......

经过STATUS的SSL列就能判断链接的用户是否使用了SSL，好比上述例子中的Cipher in use is DHE-RSA-AES256-SHA就表示当前david用户是经过SSL的方式进行链接。若在建立用户时，但愿该用户每次必须经过SSL方式，则需在建立用户经过REQUIRE SSL来进行设置，对于上述的david用户，能够经过以下方式来进行修改以确保每次经过SSL进行链接，强制不使用SSL进行链接则报错：

1 2 3 4

mysql> ALTER USER david@ '%' REQUIRE SSL; ...... root@ test -1:~ # mysql -h10.166.224.32 -udavid --ssl=0 ERROR 1045 (28000): Access denied  for user  'david' @ '10.166.224.32' (using password: YES)

MySQL 5.6一样支持以SSL的方式进行链接，可是操做相对5.7较为复杂，用户须要本身经过openssl命令来建立各种公密钥，具体能够查看相关官方文档。

SSL性能测试

相信不少小伙伴关心开启SSL加密链接后的性能表现，不能否认的是启用SSL加密链接后，性能必然会有降低。这里的测试采用全内存SELECT主键的方式，所以能够认为是最坏状况的SSL性能开销：

上述的测试是在Inside君的云主机环境下，云主机配置只有4核CPU，故QPS值总体不高，可是应该可以发现开启SSL后的性能开销在25%左右。
另外，因为SSL开销较大的环节在创建链接，因此短连接的开销可能会更大，所以推荐使用长链接或者链接池的方式来减少SSL所带来的额外开销，不过好在MySQL的应用习惯大部分也是长链接的方式。

总结

1. MySQL 5.7配置SSL要比5.6来的简单的多
2. MySQL 5.7客户端默认开启SSL加密链接
3. 一般来讲，开启SSL加密链接后，性能最大的开销在25%左右