如何在Ubuntu 18.04上为MySQL配置SSL/TLS

2021-12-16 16:24发布

MySQL是世界上最流行的开源关系数据库管理系统。 虽然现代包管理器已经减少了启动和运行MySQL的一些摩擦,但是在安装它之后还应该执行一些进一步的配置。 花费一些额外时间的最重要方面之一是安全性。


默认情况下,MySQL配置为仅接受本地连接,或者来自安装MySQL的同一台机器的连接。 如果您需要从远程位置访问MySQL数据库,那么安全地执行此操作非常重要。 在本指南中,我们将演示如何在Ubuntu 18.04上配置MySQL以接受使用SSL/TLS加密的远程连接。


准备

要遵循本教程,您将需要两台 Ubuntu 16.04服务器。我们将使用一个作为MySQL服务器,另一个作为客户端。没有服务器的同学可以在这里购买,不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验,学会安装后在购买服务器。


在第一台机器上,您应该安装并配置MySQL服务器。按照我们的四步教你搭建保护MySQL服务器!教程来安装和配置软件。


在第二台计算机上,安装MySQL客户端软件包。您可以通过输入以下内容来更新apt软件包索引并安装必要的软件:


sudo apt-get updatesudo apt-get install mysql-client


当您的服务器和客户端准备就绪后,请继续。


检查当前的SSL / TLS状态

在开始之前,我们可以在MySQL服务器实例上检查SSL / TLS的当前状态。


使用root 用户登录MySQL会话。我们将使用-h指定IPv4本地环回接口,以强制客户端与TCP连接。这将允许我们检查TCP连接的SSL状态:


mysql -u root -p -h 127.0.0.1


系统将提示您输入在安装过程中输入MySQL root密码。之后,您将进入交互式MySQL会话。


输入以下内容显示SSL / TLS变量的状态:


SHOW VARIABLES LIKE '%ssl%';+---------------+----------+| Variable_name | Value |+---------------+----------+| have_openssl | DISABLED || have_ssl | DISABLED || ssl_ca | || ssl_capath | || ssl_cert | || ssl_cipher | || ssl_crl | || ssl_crlpath | || ssl_key | |+---------------+----------+9 rows in set (0.01 sec)


have_openssl和have_ssl变量都标记为DISABLED。这意味着SSL功能已编译到服务器中,但尚未启用。


检查我们当前连接的状态以确认:


\s--------------mysql Ver 14.14 Distrib 5.7.17, for Linux (x86_64) using EditLine wrapperConnection id: 30Current database: Current user: root@localhostSSL: Not in useCurrent pager: stdoutUsing outfile: ''Using delimiter: ;Server version: 5.7.17-0ubuntu0.16.04.1 (Ubuntu)Protocol version: 10Connection: 127.0.0.1 via TCP/IPServer characterset: latin1Db characterset: latin1Client characterset: utf8Conn. characterset: utf8TCP port: 3306Uptime: 3 hours 38 min 44 secThreads: 1 Questions: 70 Slow queries: 0 Opens: 121 Flush tables: 1 Open tables: 40 Queries per second avg: 0.005--------------


如上面的输出所示,SSL尚未加密我们的链接


完成后关闭当前的MySQL会话:


exit


现在我们可以开始为SSL配置MySQL以保护我们的连接。


生成SSL / TLS证书和密钥

要启用与MySQL的SSL连接,我们首先需要生成相应的证书和密钥文件。MySQL 5.7及更高版本提供了一个被调用的程序mysql_ssl_rsa_setup来简化此过程。Ubuntu 16.04具有兼容的MySQL版本,因此我们可以使用此命令生成必要的文件。


这些文件将在MySQL的数据目录中创建,位于/var/lib/mysql。我们需要MySQL进程能够读取生成的文件所以我们将mysql作为应该拥有生成文件的用户传递:


sudo mysql_ssl_rsa_setup --uid=mysql


将产生如下所示的输出:


Generating a 2048 bit RSA private key...................................+++.....+++writing new private key to 'ca-key.pem'-----Generating a 2048 bit RSA private key......+++.................................+++writing new private key to 'server-key.pem'-----Generating a 2048 bit RSA private key......................................................+++.................................................................................+++writing new private key to 'client-key.pem'-----


输入以下命令检查生成的文件:


sudo find /var/lib/mysql -name '*.pem' -ls 256740 4 -rw-r--r-- 1 mysql mysql 1078 Mar 17 17:24 /var/lib/mysql/server-cert.pem 256735 4 -rw------- 1 mysql mysql 1675 Mar 17 17:24 /var/lib/mysqlsql/ca-key.pem<^> 256739 4 -rw-r--r-- 1 mysql mysql 451 Mar 17 17:24 /var/lib/mysqlsql/public_key.pem<^> 256741 4 -rw------- 1 mysql mysql 1679 Mar 17 17:24 /var/lib/mysqlsql/client-key.pem<^> 256737 4 -rw-r--r-- 1 mysql mysql 1074 Mar 17 17:24 /var/lib/mysqlsql/ca.pem<^> 256743 4 -rw-r--r-- 1 mysql mysql 1078 Mar 17 17:24 /var/lib/mysqlsql/client-cert.pem<^> 256736 4 -rw------- 1 mysql mysql 1675 Mar 17 17:24 /var/lib/mysqlsql/private_key.pem<^> 256738 4 -rw------- 1 mysql mysql 1675 Mar 17 17:24 /var/lib/mysqlsql/server-key.pem<^>


最后一列显示生成的文件名。并表示生成的文件具有正确的用户和组所有权。


这些文件是证书颁发机构(以“ca”开头),MySQL服务器进程(以“server”开头)和MySQL客户端(以“client”开头)的密钥和证书对。


在MySQL服务器上启用SSL连接

MySQL版本将在服务器启动时在MySQL数据目录中查找相应的证书文件。因此,我们实际上不需要修改MySQL配置来启用SSL。


我们可以改为重启MySQL服务:


sudo systemctl restart mysql


重新启动后,使用与以前相同的命令打开新的MySQL会话。如果服务器支持,MySQL客户端将自动尝试使用SSL进行连接:


mysql -u root -p -h 127.0.0.1


我们来看看上次请求的相同信息。检查SSL相关变量的值:


SHOW VARIABLES LIKE '%ssl%';+---------------+-----------------+| Variable_name | Value |+---------------+-----------------+| have_openssl | YES || have_ssl | YES || ssl_ca | ca.pem || ssl_capath | || ssl_cert | server-cert.pem || ssl_cipher | || ssl_crl | || ssl_crlpath | || ssl_key | server-key.pem |+---------------+-----------------+9 rows in set (0.00 sec)


这次have_openssl和have_ssl变量读取“YES”而不是“DISABLED”。此外,ssl_ca,ssl_cert,和ssl_key变量已填入我们产生的相关证书的名称。


接下来,再次检查连接详细信息:


\s--------------. . .SSL: Cipher in use is DHE-RSA-AES256-SHA. . .Connection: 127.0.0.1 via TCP/IP. . .--------------


这次,将显示特定的SSL加密方式,表示正在使用SSL来保护我们的连接。


退出到shell:


exit


我们的服务器现在能够使用加密,但需要一些额外的配置才能允许远程访问并强制使用安全连接。


为远程客户端配置安全连接

现在我们已在服务器上使用SSL,我们可以开始配置安全远程访问。为此,我们需要:


要求SSL用于远程连接


绑定到公共接口


为远程连接创建MySQL用户


调整防火墙规则以允许外部连接


使用强制SSL配置远程访问

目前,MySQL服务器配置为接受来自客户端的SSL连接。但是,如果客户端请求,它仍将允许未加密的连接。


我们可以通过打开require_secure_transport选项来解决这个问题。这要求所有连接都使用SSL。因此对远程用户开放的唯一连接选项将使用SSL。


要启用此设置,请在文本编辑器中打/etc/mysql/my.cnf开文件:


sudo nano /etc/mysql/my.cnf


在里面,将有两个!includedir指令用于获取其他配置文件。我们需要在这些行下面放置我们自己的配置,以便它们覆盖任何冲突的设置。


首先创建一个[mysqld]部分来定位MySQL服务器进程。将require_secure_transport设置为ON:


. . .!includedir /etc/mysql/conf.d/!includedir /etc/mysql/mysql.conf.d/[mysqld]# Require clients to connect either using SSL# or through a local socket filerequire_secure_transport = ON


该行是强制实施安全连接所需的唯一设置。


默认情况下,MySQL配置为仅侦听源自本地计算机的连接。要将其配置为侦听远程连接,我们可以将其bind-address设置为不同的接口。


要允许MySQL接受任何接口上的连接,我们可以将bind-address设置为“0.0.0.0”:


. . .!includedir /etc/mysql/conf.d/!includedir /etc/mysql/mysql.conf.d/[mysqld]# Require clients to connect either using SSL# or through a local socket filerequire_secure_transport = ONbind-address = 0.0.0.0


完成后保存并关闭文件。


接下来,重新启动MySQL以应用新设置:


sudo systemctl restart mysql


通过输入以下内容验证MySQL是否正在侦听“0.0.0.0”而不是“127.0.0.1”:


sudo netstat -pluntActive Internet connections (only servers)Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program nametcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 4330/mysqld tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1874/sshd tcp6 0 0 :::22 :::* LISTEN 1874/sshd


上面输出中的“0.0.0.0”表示MySQL正在侦听所有可用接口上的连接。


接下来,我们需要通过防火墙允许MySQL连接。输入以下内容创建:


sudo ufw allow mysqlRule addedRule added (v6)


远程连接尝试现在应该��够到达我们的MySQL服务器。


配置远程MySQL用户

MySQL服务器现在正在侦听远程连接,但我们目前没有配置任何可以从外部计算机连接的用户。以root用户身份登录MySQL 开始:


mysql -u root -p


在内部,您可以使用CREATE USER命令创建新的远程用户。我们将在用户规范的主机部分中使用客户端计算机的IP地址来限制与该计算机的连接。对于将来关闭require_secure_transport选项的某些冗余,我们还将在帐户创建期间指定此用户通过包含REQUIRE SSL子句来要求SSL:


CREATE USER 'remote_user'@'mysql_client_IP' IDENTIFIED BY 'password' REQUIRE SSL;


接下来,为他们应该有权访问的数据库或表授予新用户权限。为了演示,我们将创建一个example数据库并赋予新的用户所有权:


CREATE DATABASE example;GRANT ALL ON example.* TO 'remote_user'@'mysql_client_IP';


接下来,刷新权限立即应用这些设置:


FLUSH PRIVILEGES;


完成后退出到shell:


exit


我们的服务器设置为允许连接到我们的远程用户。


测试远程连接

在MySQL客户端计算机上,进行测试以确保您可以成功连接到服务器。使用-u选项指定远程用户以及-h选项指定MySQL服务器IP地址:


mysql -u remote_user -p -h mysql_server_IP


指定密码后,您将登录到远程服务器。


检查以确保您的连接安全:


\s--------------. . .SSL: Cipher in use is DHE-RSA-AES256-SHA. . .Connection: mysql_server_IP via TCP/IP. . .--------------


退出到shell:


exit


接下来,尝试不安全地连接:


mysql -u remote_user -p -h mysql_server_IP --ssl-mode=disabled


提示您输入密码后,应拒绝您的连接:


ERROR 1045 (28000): Access denied for user 'remote_user'@'mysql_server_IP' (using password: YES)


它显示允许SSL连接,而拒绝未加密的连接。此时,我们的MySQL服务器已配置为安全地接受远程连接。如果这满足您的安全要求,您可以在这里停止,但我们可以实施一些额外的部分来进一步增强我们的安全性和信任。


配置MySQL连接的验证(可选)

目前,我们的MySQL服务器配置了由本地生成的证书颁发机构(CA)签名的SSL证书。服务器的证书和密钥对足以为传入连接提供加密。


但是,我们目前没有利用证书颁发机构可以提供的信任关系。通过将CA证书分发给客户端以及客户端证书和密钥,双方都可以提供其证书由相互信任的证书颁发机构签名的证明。这有助于防止恶意服务器的欺骗性连接。


为了实现这个额外的可选安全措施,我们需要:


将适当的SSL文件传输到客户端计算机


创建客户端配置文件


改变我们的远程用户以获得可信证书


将客户端证书传输到客户端计算机

首先,我们需要从MySQL服务器获取MySQL CA和客户端证书文件,并将它们放在MySQL客户端上。


首先在您将用于连接的用户的主目录中的MySQL客户端上创建一个目录。叫这个client-ssl:


mkdir ~/client-ssl


我们应该锁定对此目录的访问权限,以便只有当前用户才能访问它:


chmod 700 ~/client-ssl


现在,我们可以将证书信息复制到新目录。


在MySQL服务器计算机上,输入以下内容显示CA证书的内容:


sudo cat /var/lib/mysql/ca.pem-----BEGIN CERTIFICATE-----. . .-----END CERTIFICATE-----


将整个输出(包括BEGIN CERTIFICATE和END CERTIFICATE行)复制到剪贴板。


在MySQL客户端上,在新目录中创建一个具有相同名称的文件:


nano ~/client-ssl/ca.pem


在里面,粘贴剪贴板中复制的证书内容。完成后保存并关闭文件。


接下来,在MySQL服务器上显示客户端证书:


sudo cat /var/lib/mysql/client-cert.pem-----BEGIN CERTIFICATE-----. . .-----END CERTIFICATE-----


再次,将内容复制到剪贴板。


在目录中的MySQL客户端上打开一个具有相同名称的client-ssl文件:


nano ~/client-ssl/client-cert.pem


粘贴剪贴板中的内容。保存并关闭文件。


最后,在MySQL服务器上显示客户端密钥文件的内容:


sudo cat /var/lib/mysql/client-key.pem-----BEGIN RSA PRIVATE KEY-----. . .-----END RSA PRIVATE KEY-----


将显示的内容(包括第一行和最后一行)复制到剪贴板。


在MySQL客户端上,打开目录中具有相同名称的client-ssl文件:


nano ~/client-ssl/client-key.pem


粘贴剪贴板中的内容。保存并关闭文件。客户端计算机现在应具有访问MySQL服务器所需的所有凭据。接下来,我们需要改变我们的远程用户。


需要来自可信CA的远程用户证书

目前,MySQL客户端具有可用于在连接时向服务器提供其证书的文件。但是,服务器仍未设置为要求来自受信任CA的客户端证书。


要更改此设置,请在MySQL服务器上再次登录MySQL root帐户:


mysql -u root -p


接下来,我们需要更改远程用户的要求。 我们需要应用REQUIRE X509而不是REQUIRE SSL 。这意味着前一个要求提供的所有安全性,但另外要求连接客户端提供由MySQL服务器信任的证书颁发机构签名的证书。


要调整用户要求,请使用ALTER USER命令:


ALTER USER 'remote_user'@'mysql_client_IP' REQUIRE X509;


刷新更改以应用它们:


FLUSH PRIVILEGES;


完成后退出到shell:


exit


接下来,我们可以测试以确保我们仍然可以连接。


连接时测试证书验证

现在是检查我们是否可以在连接时验证双方的好时机。


在MySQL客户端上,首先尝试连接而不提供客户端证书:


mysql -u remote_user -p -h mysql_server_IPERROR 1045 (28000): Access denied for user 'remote_user'@'mysql_client_IP' (using password: YES)


如果不提供客户端证书,服务器将拒绝连接。


现在,使用--ssl-ca,--ssl-cert和--ssl-key选项连接以指向\~/client-ssl目录中的相关文件::


mysql -u remote_user -p -h mysql_server_IP --ssl-ca=~/client-ssl/ca.pem --ssl-cert=~/client-ssl/client-cert.pem --ssl-key=~/client-ssl/client-key.pem


您应该已成功登录。重新登录以重新获得对shell会话的访问权限:


exit


现在我们已经确认了对服务器的访问,我们可以实现小的可用性改进。


创建MySQL客户端配置文件

为避免每次连接时都必须指定证书文件,我们可以创建一个简单的MySQL客户端配置文件。


在MySQL客户端计算机上的主目录中,创建一个名为nano ~/.my.cnf的隐藏文件:


nano ~/.my.cnf


在文件的顶部,创建一个名为[client]的部分。下面,我们可以设置ssl-ca,ssl-cert和ssl-key选项指向我们从服务器复制的文件。它如下所示:


[client]ssl-ca = ~/client-ssl/ca.pemssl-cert = ~/client-ssl/client-cert.pemssl-key = ~/client-ssl/client-key.pem


ssl-ca选项告诉客户端验证MySQL服务器提供的证书是否由我们指向的证书颁发机构签名。这允许客户端相信它正在连接到受信任的MySQL服务器。


ssl-cert和ssl-key选项指向向MySQL服务器证明它也具有由相同证书颁发机构签名的证书所需的文件。如果我们希望MySQL服务器验证客户端也被CA信任,我们需要这个。


完成后保存并关闭文件。


现在,你可以连接到MySQL服务器,而无需在命令行添加--ssl-ca,--ssl-cert和--ssl-key选项:


mysql -u remote_user -p -h mysql_server_ip


您的客户端和服务器现在应该在协商连接时都提供证书。每一方都配置为根据其本地CA证书验证远程证书。


总结


您的MySQL服务器现在配置为需要来自远程客户端的安全连接。此外,如果您按照以下步骤使用证书颁发机构验证连接,则双方将建立某种程度的信任,即远程方是合法的。





登录 后发表评论
0条评论
还没有人评论过~