欧美97色伦欧美一区二区日韩,国产福利片在线观看,freexxx性欧美vide0高清,西西亚洲,日本欧美国产精品第一页久久,成人18免费软件

當前位置: 維易PHP培訓學院 > 服務器運維 > 內容正文

你的MySQL服務器開啟SSL了嗎?

作者:VEPHP   時間 2017-09-18

《你的MySQL服務器開啟SSL了嗎?》要點:
本文介紹了你的MySQL服務器開啟SSL了嗎?,希望對您有用。如果有疑問,可以聯系我們。

作者介紹

趙海亮,現任職于58趕集集團-安居客MySQL DBA,主要從事安居客MySQL數據庫的優化、升級、遷移等工作.

最近,準備升級一組MySQL到5.7版本,在安裝完MySQL5.7后,在其data目錄下發現多了很多.pem類型的文件,然后通過查閱相關資料,才知這些文件是MySQL5.7使用SSL加密連接的.本篇主要介紹如何使用MySQL5.7 SSL連接加密功能以及使用SSL的一些注意點.

我們知道,MySQL5.7之前版本,安全性做得并不夠好,比如安裝時生成的Root空密碼賬號、存在任何用戶都能連接上的test庫等,導致數據庫存在較大的安全隱患.好在5.7版本對以上問題進行了一一修復.與此同時,MySQL 5.7版本還提供了更為簡單SSL安全訪問配置,且默認連接就采用SSL的加密方式,這讓數據庫的安全性提高一個層次.

SSL介紹

SSL(Secure Socket Layer:安全套接字層)利用數據加密、身份驗證和消息完整性驗證機制,為基于TCP等可靠連接的應用層協議提供安全性保證.

SSL協議提供的功能主要有:

  1. 數據傳輸的機密性:利用對稱密鑰算法對傳輸的數據進行加密.
  2. 身份驗證機制:基于證書利用數字簽名方法對服務器和客戶端進行身份驗證,其中客戶端的身份驗證是可選的.
  3. 消息完整性驗證:消息傳輸過程中使用MAC算法來檢驗消息的完整性.

如果用戶的傳輸不是通過SSL的方式,那么其在網絡中數據都是以明文進行傳輸的,而這給別有用心的人帶來了可乘之機.所以,現在很多大型網站都開啟了SSL功能.同樣地,在我們數據庫方面,如果客戶端連接服務器獲取數據不是使用SSL連接,那么在傳輸過程中,數據就有可能被竊取.

MySQL5.7 SSL配置和啟用

1、安裝時啟動SSL

在MySQL5.7安裝初始化階段,我們發現這個版本比之前版本多了一步操作,而這個操作就是安裝SSL的.

MySQL

當運行完這個命令后,默認會在data_dir目錄下生成以下pem文件,這些文件就是用于啟用SSL功能的:

SSL

這時從數據庫服務器本地進入MySQL命令行,你可以看到如下變量值:

MySQL

注意:如果用戶是采用本地localhost或者sock連接數據庫,那么不會使用SSL方式了.

2、如果安裝MySQL5.7時沒有運行過mysql_ssl_rsa_setup,那么如何開啟SSL呢?

  1. 關閉MySQL服務
  2. 運行mysql_ssl_rsa_setup 命令
  3. 到data_dir目錄下修改.pem文件的所屬權限用戶為mysql?chown -R mysql.mysql *.pem
  4. 啟動MySQL服務

3、強制某用戶必須使用SSL連接數據庫

你的MySQL服務器開啟SSL了嗎?

對于上面強制使用SSL連接的用戶,如果不是使用ssl連接的就會報錯,像下面這樣:

SSL

未使用SSL和使用SSL安全性對比

測試方式:在MySQL服務器端通過tshark抓包的方式來模擬竊取數據.驗證、對比未使用SSL和使用SSL兩者在安全性上有什么不同?

1、未使用SSL情況

在客戶端機器上連接數據庫并進行insert操作,使用–ssl-mode=DISABLED關閉SSL.

你的MySQL服務器開啟SSL了嗎?

同時在MySQL服務器端上用tshark進行抓包:

你的MySQL服務器開啟SSL了嗎?

結論:未使用SSL情況下,在數據庫服務器端可以通過抓包的方式獲取數據,安全性不高.

2、采用SSL情況

在客戶端機器上連接數據庫并進行insert操作,使用–ssl-mode=REQUIRED指定SSL

insert

同時在MySQL服務器端上再次用tshark進行抓包:

tshark

【結論】沒有抓到該語句,采用SSL加密后,tshark抓不到數據,安全性高.

使用SSL前后性能對比(QPS)

服務器配置:

CPU:32核心

內存:128G

磁盤:SSD

為了盡量準確測試QPS,采用全內存查詢.因為我們線上熱點數據基本都在內存中;按照并發線程數分類:1線程、4線程、8線程、16線程、24線程、32線程、64線程;

你的MySQL服務器開啟SSL了嗎?

具體數據如下:

數據

從測試數據可以發現,開啟SSL后,數據庫QPS平均降低了23%左右,相對還是比較影響性能的.從SSL實現方式來看,建立連接時需要進行握手、加密、解密等操作.所以耗時基本都在建立連接階段,這對于使用短鏈接的應用程序可能產生更大的性能損耗,比如采用PHP開發.不過果使用連接池或者長連接可能會好許多.

總結

  • MySQL5.7默認是開啟SSL連接,如果強制用戶使用SSL連接,那么應用程序的配置也需要明確指定SSL相關參數,否則程序會報錯.
  • 雖然SSL方式使得安全性提高了,但是相對地使得QPS也降低23%左右.所以要謹慎選擇:1)對于非常敏感核心的數據,或者QPS本來就不高的核心數據,可以采用SSL方式保障數據安全性;2)對于采用短鏈接、要求高性能的應用,或者不產生核心敏感數據的應用,性能和可用性才是首要,建議不要采用SSL方式.

文章來自微信公眾號:DBAplus社群

轉載請注明本頁網址:
http://www.snjht.com/jiaocheng/2201.html


    標簽: