赞
踩
* 0、SSL策略
* 检查状态
* 创建用户普通认证方式
* SSL加密登录方法1;
SSL(Secure Socket Layer: 安全套接字) 利用数据加密,身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议。
SSL协议提供的功能主要有:
如果用户的传输不是通过SSL的方式,那么其在网络中数据都是以明文进行传输的。
在数据库方面,客户端连接服务器使用SSL连接,能加密通信数据。
总的来说,MySQL 8 的 SSL 功能可以帮助用户更安全地管理数据库,提高数据安全性。
--ssl-mode
是 MySQL 命令行客户端的一个选项,用于指定 SSL/TLS 连接的模式。
它有四个可能的值:
DISABLED
:禁用 SSL
REQUIRED
:必须使用 SSL
VERIFY_CA
:验证CA
VERIFY_IDENTITY
:验证身份
在连接到远程 MySQL 服务器时,需要保护敏感信息和数据的安全性,因此应使用 SSL 来加密通信。
而为了提供最高级别的信任和安全性
,应将--ssl-mode
设置为REQUIRED
。
--ssl-mode REQUIRED
是MySQL8
中最高安全级别
,它要求客户端必须使用加密 SSL/TLS
连接到服务器,并验证服务器的身份。
而 --ssl-mode VERIFY_IDENTITY
不强制要求加密 SSL/TLS
连接,它仅检查并验证服务器证书
,因此不如 --ssl-mode REQUIRED 安全
。
这意味着 MySQL 客户端将试图建立 SSL 连接,并且如果无法建立 SSL 连接,则不会连接到 MySQL 服务器,从而确保只有通过 SSL
连接才能访问数据库。
详细解释如下:
REQUIRED
要求所有 MySQL 客户端必须通过 TLS 密码套件建立与数据库服务器之间的连接,以提供最高级别
的信任和安全性
。。
VERIFY_IDENTITY
选项要求 MySQL 客户端验证数据库服务器的身份,并持有与其授予一致的主机名或 IP 地址。但如果数据库服务器使用自签名证书,则可能会由于无法在公钥基础架构中下载到 CRL 和 OCSP 响应而交予妥协项,从而使校验变得不安全。
PREFERRED
标志允许客户端建议并尝试进行 SSL 连接,但不需要建立 SSL 连接。如果 MySQL 客户端请求未加密连接时,服务器会回答该请求。
VERIFY_CA
在服务器端上对客户端启用 SSL 协议,并确保 SSL 连接是在根证书颁发机构的颁发证书上建立的,而且客户端提供了匹配考验的专业证书,非常适合客户端软件的验信标准很高或者要求传输数据增强保护的情况。
# 安装openssl依赖包
dnf install -y openssl
# 查看openssl版本
openssl version
![image.png](https://img-
blog.csdnimg.cn/img_convert/d3b306b5472395c7cc9c952832bb1f91.png#averageHue=#2a2a2a&clientId=u17fa661b-89f4-4&from=paste&height=63&id=uc0a81c15&originHeight=126&originWidth=484&originalType=binary&ratio=2&rotation=0&showTitle=false&size=33406&status=done&style=none&taskId=u5d67a828-bcc9-4167-84cb-f62cdd49566&title=&width=242)
# 生成SSL连接所需要的RSA密钥对
## datadir 指定数据库文件鹿筋
## user和uid 指定运行mysql_ssl_rsa_setup命令的用户
mysql_ssl_rsa_setup --datadir=/var/lib/mysql --user=mysql --uid=mysql
# 默认执行即可
mysqld_ssl_rsa_setup
## -vvv 详细,debug模式
![image.png](https://img-
blog.csdnimg.cn/img_convert/c67349969b888cd3b5f93493f27aaac3.png#averageHue=#030401&clientId=u17fa661b-89f4-4&from=paste&height=553&id=u346d4972&originHeight=1106&originWidth=2268&originalType=binary&ratio=2&rotation=0&showTitle=false&size=1651529&status=done&style=none&taskId=ucc4da1f9-fdaf-46bc-a915-e29478067cb&title=&width=1134)
会自动在datadir
目录下创建下面的证书文件
https://blog.csdn.net/Sn_Keys/article/details/126425869
[mysqld] # 指定CA证书公钥文件的路径 ssl-ca=/path/to/ca.pem # 指定mysql服务器证书的路径 ssl-cert=/path/to/server_cert.pem # 指定mysql服务器证书的私钥路径 ssl-key=/path/to/server_key.pem [client] # 指定CA证书公钥文件的路径 ssl-ca=/path/to/ca.pem # 指定mysql客户端证书的路径 ssl-cert=/path/to/client_cert.pem # 指定mysql客户端证书的私钥路径 ssl-key=/path/to/client_key.pem
重启mysql服务
# 重启mysql服务
systemctl restart mysqld
-- 检查数据库是否启用SSL
show variables LIKE 'have_SSl';
![image.png](https://img-
blog.csdnimg.cn/img_convert/4520cd0cbcf032b72dc3204d0d210ef3.png#averageHue=#040a02&clientId=u17fa661b-89f4-4&from=paste&height=182&id=u40d75e5d&originHeight=364&originWidth=926&originalType=binary&ratio=2&rotation=0&showTitle=false&size=280226&status=done&style=none&taskId=ub5b486bc-0b99-4480-8f7f-70eccb33e48&title=&width=463)
-- 查看全局变量中包含"SSL"字符的所有变量名和值
show global variables LIKE '%SSL%';
-- 查看tls安全传输版本
show global variables LIKE 'tls_version';
从 MySQL5.7.35
开始,不推荐使用 TLSv1
和 TLSv1.1
连接协议
![image.png](https://img-
blog.csdnimg.cn/img_convert/1ee4462640c741f5fa44e3bb6ac8916a.png#averageHue=#2c3038&clientId=u17fa661b-89f4-4&from=paste&height=142&id=u60246783&originHeight=284&originWidth=894&originalType=binary&ratio=2&rotation=0&showTitle=false&size=106006&status=done&style=none&taskId=ue3bc98e7-608c-4c16-b2aa-2d2cf7212df&title=&width=447)
-- 创建用户
CREATE USER 用户名@'%' IDENTIFIED BY '表名';
-- 给用户授权
GRANT ALL ON *.* TO 用户名@'%';
-- 应用权限配置
FLUSH PRIVILEGES;
-- 查看用户权限
SELECT user,host,ssl_type,ssl_cipher FROM mysql.user;
REQUIRE SSL
强制要求客户端使用 SSL/TLS加密协议
与服务器进行通信
REQUIRE X509
强制要求客户端不仅要使用 SSL/TLS连接
,而且还需要提供一个有效的 x509证书
。在使用 REQUIRE X509
时,MySQL 服务器会验证客户端提供的证书是否是受信任
的,并且该证书是否匹配已经注册的用户帐户
中的证书
。
-- require ssl 强制用户使用证书认证
CREATE USER 用户名@'%' IDENTIFIED BY '表名' require ssl;
-- require x509 强制用户使用证书认证
CREATE USER 用户名@'%' IDENTIFIED BY '表名' require x509;
![image.png](https://img-
blog.csdnimg.cn/img_convert/8b2ccbd0418cb4a8612f522bf027ed0f.png#averageHue=#24240c&clientId=u17fa661b-89f4-4&from=paste&height=53&id=u6b8cbfcc&originHeight=106&originWidth=1348&originalType=binary&ratio=2&rotation=0&showTitle=false&size=101959&status=done&style=none&taskId=uc5fd447c-0e3c-4f38-9998-ebc91d947f1&title=&width=674)
-- 给用户授权
GRANT ALL ON *.* TO 用户名@'%';
-- 应用权限配置
FLUSH PRIVILEGES;
-- 查看用户权限
SELECT user,host,ssl_type,ssl_cipher FROM mysql.user;
![image.png](https://img-
blog.csdnimg.cn/img_convert/403e15efc897dee9dd226133804a3665.png#averageHue=#040503&clientId=u17fa661b-89f4-4&from=paste&height=465&id=uec857bf3&originHeight=930&originWidth=1914&originalType=binary&ratio=2&rotation=0&showTitle=false&size=750957&status=done&style=none&taskId=u09e6673e-ffd8-40a6-a40b-9b15fdecb65&title=&width=957)
-- 设置强制ssl
alter user user0001@'%' require ssl;
-- 取消强制ssl
alter user user0001@'%' require none;
# --ssl-mode=disable: 表示关闭SSL加密模式
mysql -uroot -p --ssl-mode=disable
# 登录mysql后查看加密模式
mysql> status;
![image.png](https://img-
blog.csdnimg.cn/img_convert/f3ac5b67b921487aee84e053868400be.png#averageHue=#020201&clientId=u17fa661b-89f4-4&from=paste&height=235&id=u150d2ac3&originHeight=470&originWidth=1674&originalType=binary&ratio=2&rotation=0&showTitle=false&size=436991&status=done&style=none&taskId=ua368f62b-86a1-4eab-9f1d-83d9b8cdd7b&title=&width=837)
# --ssl-mode=required: 表示强制开启SSL加密模式
mysql -uroot -p --ssl-mode=required
![image.png](https://img-
blog.csdnimg.cn/img_convert/2ebd4b06bba25edddd49b301b9ec34e2.png#averageHue=#093a0a&clientId=u17fa661b-89f4-4&from=paste&height=99&id=ue71116f7&originHeight=198&originWidth=1442&originalType=binary&ratio=2&rotation=0&showTitle=false&size=280316&status=done&style=none&taskId=u267336f6-5895-4747-85cf-9d1e7c8c02b&title=&width=721)
-- 登录mysql后查看加密模式
status;
![image.png](https://img-
blog.csdnimg.cn/img_convert/cca6892a420fe7f7beccfc68421e45f3.png#averageHue=#020201&clientId=u17fa661b-89f4-4&from=paste&height=261&id=uc6950f62&originHeight=522&originWidth=1642&originalType=binary&ratio=2&rotation=0&showTitle=false&size=547523&status=done&style=none&taskId=u38b42274-2f56-4fd7-8310-9bc61d21862&title=&width=821)
![image.png](https://img-
blog.csdnimg.cn/img_convert/7559917e86ef15e4ea0245afa995f46d.png#averageHue=#f7f7f6&clientId=u17fa661b-89f4-4&from=paste&height=175&id=u921e8295&originHeight=350&originWidth=804&originalType=binary&ratio=2&rotation=0&showTitle=false&size=234896&status=done&style=none&taskId=u983cd8a7-4372-4a5d-9a30-33d20142a59&title=&width=402)
# 指定CA证书及客户端证书及私钥
mysql -uroot -p --ssl-ca=/var/lib/mysql/ca.pem \
--ssl-cert=/var/lib/mysql/client-cert.pem \
--ssl-key=/var/lib/mysql/client-key.pem
![image.png](https://img-
blog.csdnimg.cn/img_convert/5395f50c622d0498117e9538a5a061ad.png#averageHue=#f4f3f3&clientId=u17fa661b-89f4-4&from=paste&height=709&id=ud732abe2&originHeight=1418&originWidth=1236&originalType=binary&ratio=2&rotation=0&showTitle=false&size=690909&status=done&style=none&taskId=ub23c97eb-f301-4771-9fd3-96ee382df05&title=&width=618)
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。