你的MySQL服务器开启SSL了吗?
|
《你的MySQL服务器开启SSL了吗?》要点: 作者介绍
最近,准备升级一组MySQL到5.7版本,在安装完MySQL5.7后,在其data目录下发现多了很多.pem类型的文件,然后通过查阅相关资料,才知这些文件是MySQL5.7使用SSL加密连接的.本篇主要介绍如何使用MySQL5.7 SSL连接加密功能以及使用SSL的一些注意点. 我们知道,MySQL5.7之前版本,安全性做得并不够好,比如安装时生成的Root空密码账号、存在任何用户都能连接上的test库等,导致数据库存在较大的安全隐患.好在5.7版本对以上问题进行了一一修复.与此同时,MySQL 5.7版本还提供了更为简单SSL安全访问配置,且默认连接就采用SSL的加密方式,这让数据库的安全性提高一个层次. SSL介绍SSL(Secure Socket Layer:安全套接字层)利用数据加密、身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议提供安全性保证. SSL协议提供的功能主要有:
如果用户的传输不是通过SSL的方式,那么其在网络中数据都是以明文进行传输的,而这给别有用心的人带来了可乘之机.所以,现在很多大型网站都开启了SSL功能.同样地,在我们数据库方面,如果客户端连接服务器获取数据不是使用SSL连接,那么在传输过程中,数据就有可能被窃取. MySQL5.7 SSL配置和启用1、安装时启动SSL在MySQL5.7安装初始化阶段,我们发现这个版本比之前版本多了一步操作,而这个操作就是安装SSL的.
当运行完这个命令后,默认会在data_dir目录下生成以下pem文件,这些文件就是用于启用SSL功能的:
这时从数据库服务器本地进入MySQL命令行,你可以看到如下变量值:
注意:如果用户是采用本地localhost或者sock连接数据库,那么不会使用SSL方式了. 2、如果安装MySQL5.7时没有运行过mysql_ssl_rsa_setup,那么如何开启SSL呢?
3、强制某用户必须使用SSL连接数据库
对于上面强制使用SSL连接的用户,如果不是使用ssl连接的就会报错,像下面这样:
未使用SSL和使用SSL安全性对比测试方式:在MySQL服务器端通过tshark抓包的方式来模拟窃取数据.验证、对比未使用SSL和使用SSL两者在安全性上有什么不同? 1、未使用SSL情况在客户端机器上连接数据库并进行insert操作,使用–ssl-mode=DISABLED关闭SSL.
同时在MySQL服务器端上用tshark进行抓包:
结论:未使用SSL情况下,在数据库服务器端可以通过抓包的方式获取数据,安全性不高. 2、采用SSL情况在客户端机器上连接数据库并进行insert操作,使用–ssl-mode=REQUIRED指定SSL
同时在MySQL服务器端上再次用tshark进行抓包:
【结论】没有抓到该语句,采用SSL加密后,tshark抓不到数据,安全性高. 使用SSL前后性能对比(QPS)服务器配置: CPU:32核心 内存:128G 磁盘:SSD 为了尽量准确测试QPS,采用全内存查询.因为我们线上热点数据基本都在内存中;按照并发线程数分类:1线程、4线程、8线程、16线程、24线程、32线程、64线程;
具体数据如下:
从测试数据可以发现,开启SSL后,数据库QPS平均降低了23%左右,相对还是比较影响性能的.从SSL实现方式来看,建立连接时需要进行握手、加密、解密等操作.所以耗时基本都在建立连接阶段,这对于使用短链接的应用程序可能产生更大的性能损耗,比如采用PHP开发.不过果使用连接池或者长连接可能会好许多. 总结
文章来自微信公众号:DBAplus社群 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
