PS:本文整理自https://www.cnblogs.com/imweihao/p/7199547.html
本文内容还未经过只是简单操作了一下,后续再回来完善
(一)SSL介绍
SSL(Secure Socket Layer:安全套接字层)利用数据加密、身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议提供安全性保证。
SSL协议提供的功能主要有:
1、数据传输的机密性:利用对称密钥算法对传输的数据进行加密。
2.、身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证,其中客户端的身份验证是可选的。
3、消息完整性验证:消息传输过程中使用MAC算法来检验消息的完整性。
如果用户的传输不是通过SSL的方式,那么其在网络中数据都是以明文进行传输的,而这给别有用心的人带来了可乘之机。所以,现在很多大型网站都开启了SSL功能。同样地,在我们数据库方面,如果客户端连接服务器获取数据不是使用SSL连接,那么在传输过程中,数据就有可能被窃取。
(二)MySQL5.7配置SSL
1.查看MySQL是否开启SSL
如果have_ssl为DISABLED,说明未开启
mysql> show variables like "%ssl%"; +---------------+-----------------+ | Variable_name | Value | +---------------+-----------------+ | have_openssl | DISABLED | | have_ssl | DISABLED | | ssl_ca | ca.pem | | ssl_capath | | | ssl_cert | server-cert.pem | | ssl_cipher | | | ssl_crl | | | ssl_crlpath | | | ssl_key | server-key.pem | +---------------+-----------------+ 9 rows in set (0.00 sec)
2.启用SSL
systemctl stop mysqld
mysql_ssl_rsa_setup
在mysql的数据目录下(可以再my.cnf里查看datadir数据目录路径,我的在以下路径/data/mysql/data)
然后将该目录下所有的pem文件属主修改为mysql
systemctl start mysqld
mysql> show variables like "%have_ssl%"; +---------------+-------+ | Variable_name | Value | +---------------+-------+ | have_ssl | YES | +---------------+-------+ 1 row in set (0.00 sec) mysql>
3.配置SSL
修改my.cnf文件,在mysql和mysqld模块下添加以下内容
ssl-ca=/data/mysql/data/ca.pem ssl-cert=/data/mysql/data/client-cert.pem ssl-key=/data/mysql/data/client-key.pem
systemctl restart mysqld
登录查看mysql状态,确认是否开启ssl
mysql> status -------------- mysql Ver 14.14 Distrib 5.7.15, for linux-glibc2.5 (x86_64) using EditLine wrapper Connection id: 2 Current database: Current user: root@localhost SSL: Cipher in use is DHE-RSA-AES256-SHA #这里有对应的算法名称,说明该连接启用了ssl Current pager: stdout Using outfile: '' Using delimiter: ; Server version: 5.7.15-log MySQL Community Server (GPL) Protocol version: 10 Connection: Localhost via UNIX socket Server characterset: gbk Db characterset: gbk Client characterset: gbk Conn. characterset: gbk UNIX socket: /data/mysql/run/mysql.sock Uptime: 38 sec Threads: 1 Questions: 6 Slow queries: 0 Opens: 108 Flush tables: 1 Open tables: 101 Queries per second avg: 0.157 -------------- mysql>
也可以通过执行show status like 'ssl_cipher';
mysql> show status like 'ssl_cipher'; +---------------+--------------------+ | Variable_name | Value | +---------------+--------------------+ | Ssl_cipher | DHE-RSA-AES256-SHA | +---------------+--------------------+ 1 row in set (0.01 sec) mysql>
配置用户启用SSL
#修改已存在用户
mysql> ALTER USER 'dba'@'%' REQUIRE SSL;
#新建必须使用SSL用户
mysql> grant select on *.* to 'dba'@'%' identified by 'xxx' REQUIRE SSL;
则远程登录命令如下:
mysql -h 10.126.xxx.xxx -u dba -p --ssl
不使用SSL的话,可能会被人通过例如tshark等工具进行抓包获取数据
开启SSL后,数据库QPS平均降低了23%左右,相对还是比较影响性能的。从SSL实现方式来看,建立连接时需要进行握手、加密、解密等操作。所以耗时基本都在建立连接阶段,这对于使用短链接的应用程序可能产生更大的性能损耗,比如采用PHP开发。不过如果使用连接池或者长连接可能会好许多。
总结
1、MySQL5.7默认是开启SSL连接,如果强制用户使用SSL连接,那么应用程序的配置也需要明确指定SSL相关参数,否则程序会报错。
2、虽然SSL方式使得安全性提高了,但是相对地使得QPS也降低23%左右。所以要谨慎选择:
2.1、对于非常敏感核心的数据,或者QPS本来就不高的核心数据,可以采用SSL方式保障数据安全性;
2.2、对于采用短链接、要求高性能的应用,或者不产生核心敏感数据的应用,性能和可用性才是首要,建议不要采用SSL方式;