SSL(Secure Socket Layer: 安全套接字) 利用数据加密,身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议。
SSL协议提供的功能主要有:
如果用户的传输不是通过SSL的方式,那么其在网络中数据都是以明文进行传输的。
在数据库方面,客户端连接服务器使用SSL连接,能加密通信数据。
总的来说,MySQL 8 的 SSL 功能可以帮助用户更安全地管理数据库,提高数据安全性。
--ssl-mode
是 MySQL 命令行客户端的一个选项,用于指定 SSL/TLS 连接的模式。
它有四个可能的值:
DISABLED
:禁用 SSL
REQUIRED
:必须使用 SSL
VERIFY_CA
:验证CA
VERIFY_IDENTITY
:验证身份
在连接到远程 MySQL 服务器时,需要保护敏感信息和数据的安全性,因此应使用 SSL 来加密通信。
而为了提供最高级别的信任和安全性
,应将--ssl-mode
设置为REQUIRED
。
--ssl-mode REQUIRED
是MySQL8
中最高安全级别
,它要求客户端必须使用加密 SSL/TLS
连接到服务器,并验证服务器的身份。
而 --ssl-mode VERIFY_IDENTITY
不强制要求加密 SSL/TLS
连接,它仅检查并验证服务器证书
,因此不如 --ssl-mode REQUIRED 安全
。
这意味着 MySQL 客户端将试图建立 SSL 连接,并且如果无法建立 SSL 连接,则不会连接到 MySQL 服务器,从而确保只有通过 SSL 连接才能访问数据库。
详细解释如下:
REQUIRED
要求所有 MySQL 客户端必须通过 TLS 密码套件建立与数据库服务器之间的连接,以提供最高级别
的信任和安全性
。。
VERIFY_IDENTITY
选项要求 MySQL 客户端验证数据库服务器的身份,并持有与其授予一致的主机名或 IP 地址。但如果数据库服务器使用自签名证书,则可能会由于无法在公钥基础架构中下载到 CRL 和 OCSP 响应而交予妥协项,从而使校验变得不安全。
PREFERRED
标志允许客户端建议并尝试进行 SSL 连接,但不需要建立 SSL 连接。如果 MySQL 客户端请求未加密连接时,服务器会回答该请求。
VERIFY_CA
在服务器端上对客户端启用 SSL 协议,并确保 SSL 连接是在根证书颁发机构的颁发证书上建立的,而且客户端提供了匹配考验的专业证书,非常适合客户端软件的验信标准很高或者要求传输数据增强保护的情况。
# 安装openssl依赖包
dnf install -y openssl
# 查看openssl版本
openssl version
# 生成SSL连接所需要的RSA密钥对
## datadir 指定数据库文件鹿筋
## user和uid 指定运行mysql_ssl_rsa_setup命令的用户
mysql_ssl_rsa_setup --datadir=/var/lib/mysql --user=mysql --uid=mysql
# 默认执行即可
mysqld_ssl_rsa_setup
## -vvv 详细,debug模式
会自动在datadir
目录下创建下面的证书文件
https://blog.csdn.net/Sn_Keys/article/details/126425869
[mysqld]
# 指定CA证书公钥文件的路径
ssl-ca=/path/to/ca.pem
# 指定mysql服务器证书的路径
ssl-cert=/path/to/server_cert.pem
# 指定mysql服务器证书的私钥路径
ssl-key=/path/to/server_key.pem
[client]
# 指定CA证书公钥文件的路径
ssl-ca=/path/to/ca.pem
# 指定mysql客户端证书的路径
ssl-cert=/path/to/client_cert.pem
# 指定mysql客户端证书的私钥路径
ssl-key=/path/to/client_key.pem
重启mysql服务
# 重启mysql服务
systemctl restart mysqld
-- 检查数据库是否启用SSL
show variables LIKE 'have_SSl';
-- 查看全局变量中包含"SSL"字符的所有变量名和值
show global variables LIKE '%SSL%';
-- 查看tls安全传输版本
show global variables LIKE 'tls_version';
从 MySQL5.7.35
开始,不推荐使用 TLSv1
和 TLSv1.1
连接协议
-- 创建用户
CREATE USER 用户名@'%' IDENTIFIED BY '表名';
-- 给用户授权
GRANT ALL ON *.* TO 用户名@'%';
-- 应用权限配置
FLUSH PRIVILEGES;
-- 查看用户权限
SELECT user,host,ssl_type,ssl_cipher FROM mysql.user;
REQUIRE SSL
强制要求客户端使用 SSL/TLS加密协议
与服务器进行通信
REQUIRE X509
强制要求客户端不仅要使用 SSL/TLS连接
,而且还需要提供一个有效的 x509证书
。在使用 REQUIRE X509
时,MySQL 服务器会验证客户端提供的证书是否是受信任
的,并且该证书是否匹配已经注册的用户帐户
中的证书
。
-- require ssl 强制用户使用证书认证
CREATE USER 用户名@'%' IDENTIFIED BY '表名' require ssl;
-- require x509 强制用户使用证书认证
CREATE USER 用户名@'%' IDENTIFIED BY '表名' require x509;
-- 给用户授权
GRANT ALL ON *.* TO 用户名@'%';
-- 应用权限配置
FLUSH PRIVILEGES;
-- 查看用户权限
SELECT user,host,ssl_type,ssl_cipher FROM mysql.user;
-- 设置强制ssl
alter user user0001@'%' require ssl;
-- 取消强制ssl
alter user user0001@'%' require none;
# --ssl-mode=disable: 表示关闭SSL加密模式
mysql -uroot -p --ssl-mode=disable
# 登录mysql后查看加密模式
mysql> status;
# --ssl-mode=required: 表示强制开启SSL加密模式
mysql -uroot -p --ssl-mode=required
-- 登录mysql后查看加密模式
status;
# 指定CA证书及客户端证书及私钥
mysql -uroot -p --ssl-ca=/var/lib/mysql/ca.pem \
--ssl-cert=/var/lib/mysql/client-cert.pem \
--ssl-key=/var/lib/mysql/client-key.pem
文章浏览阅读1.1w次,点赞7次,收藏34次。vue-grid-layout的使用、实例、遇到的问题和解决方案_vue-grid-layout
文章浏览阅读218次。然后连接一个数据源,就会在下面自动产生一个添加附件的组件。把这个控件复制粘贴到页面里,就可以单独使用来上传了。插入一个“编辑”窗体。_powerapps点击按钮上传附件
文章浏览阅读264次。(1) Abstraction (抽象)(2) Polymorphism (多态)(3) Inheritance (继承)(4) Encapsulation (封装)_"object(cnofd[\"ofdrender\"])十条"
文章浏览阅读133次。删除node_modules,重新npm install看是否成功。在 package.json 文件中的 scripts 中加入。修改你的第三方库的bug等。然后目录会多出一个目录文件。_修改 node_modules
文章浏览阅读883次。【代码】【】kali--password:su的 Authentication failure问题,&sudo passwd root输入密码时Sorry, try again._password: su: authentication failure
文章浏览阅读1w次,点赞13次,收藏97次。整理5个优秀的微信小程序开源项目。收集了微信小程序开发过程中会使用到的资料、问题以及第三方组件库。_微信小程序开源模板
文章浏览阅读128次。Centos7最简搭建NFS服务器_centos7 搭建nfs server
文章浏览阅读1.2k次,点赞2次,收藏3次。前言mybatis在持久层框架中还是比较火的,一般项目都是基于ssm。虽然mybatis可以直接在xml中通过SQL语句操作数据库,很是灵活。但正其操作都要通过SQL语句进行,就必须写大量的xml文件,很是麻烦。mybatis-plus就很好的解决了这个问题。..._mybaitis-plus ruledataobjectattributemapper' and 'com.picc.rule.management.d
文章浏览阅读325次。EECE 1080C / Programming for ECESummer 2022Laboratory 4: Global Functions PracticePlagiarism will not be tolerated:Topics covered:function creation and call statements (emphasis on global functions)Objective:To practice program development b_eece1080c
文章浏览阅读53次。被同机房早就1年前就学过的东西我现在才学,wtcl。设要求的数为\(x\)。设当前处理到第\(k\)个同余式,设\(M = LCM ^ {k - 1} _ {i - 1}\) ,前\(k - 1\)个的通解就是\(x + i * M\)。那么其实第\(k\)个来说,其实就是求一个\(y\)使得\(x + y * M ≡ a_k(mod b_k)\)转化一下就是\(y * M ...
文章浏览阅读1.3k次。首先,问题是如何出现的?晚上复查代码,发现一个activity没有调用自己的ondestroy方法我表示非常的费解,于是我检查了下代码。发现再finish代码之后接了如下代码finish();System.exit(0);//这就是罪魁祸首为什么这样写会出现问题System.exit(0);////看一下函数的原型public static void exit (int code)//Added ..._android 手动杀死app,activity不执行ondestroy
文章浏览阅读894次。Q: SylixOS 版权是什么形式, 是否分为<开发版税>和<运行时版税>.A: SylixOS 是开源并免费的操作系统, 支持 BSD/GPL 协议(GPL 版本暂未确定). 没有任何的运行时版税. 您可以用她来做任何 您喜欢做的项目. 也可以修改 SylixOS 的源代码, 不需要支付任何费用. 当然笔者希望您可以将使用 SylixOS 开发的项目 (不需要开源)或对 SylixOS 源码的修改及时告知笔者.需要指出: SylixOS 本身仅是笔者用来提升自己水平而开发的_select函数 导致堆栈溢出 sylixos