远程访问Mysql？教你为数据传输再加把安全锁！

《远程访问Mysql？教你为数据传输再加把安全锁！》要点：
本文介绍了远程访问Mysql？教你为数据传输再加把安全锁！，希望对您有用。如果有疑问，可以联系我们。

线上业务为了保证数据安全,一般只允许本地或者内网访问MySQL.但一些特殊情况下,需要通过外网访问MySQL.此时为了保证权限最小化开放,首先要做两方面措施：

一方面需要配置防火墙白名单

iptables -A INPUT -s 1.2.3.4 -p tcp -m tcp –dport 3306 -j ACCEPT

另一方面创建MySQL用户时限制访问IP

mysql> CREATE USER ‘testuser’@’1.2.3.4’ IDENTIFIED BY ‘testpass’;

那么,做到这一步就可以高枕无忧了吗?如果是的话,文章到此就可以结束了.但是很遗憾,实际上仍然存在安全隐患.MySQL的访问默认是明文的,与明文的HTTP的容易受到监听、劫持类似,暴露在外网的MySQL通信也有可能受到监听、中间人攻击等.下面以一个具体例子进行说明.

1 监听MySQL主从的明文通信

实现监听的方案有多种,我们采用了交换机端口镜像的方式进行旁路监听.

准备监听的机器为xxx.xxx.xxx.83,发起攻击的机器为xxx.xxx.xxx.109.

实施MySQL主从通信的监听时,无论是监听主库还是从库效果都类似,这里测试监听主库的情况.

1.1 确定要监听的端口

如果不知道这两台机器对应交换机哪个端口,可以先登录交换机,ping然后通过arp缓存查看.

ping之后就能通过arp缓存确定端口

最后,确定xxx.xxx.xxx.83即镜像源端口为g0/15,xxx.xxx.xxx.109即镜像目标端口为g0/1.

1.2 配置端口镜像

登录交换机,开始没有配置镜像

<H3C>dis mir

The monitor port has not been configured! <H3C>sys

Password: ************

Enter system view,return to user view with Ctrl+Z.

分别配置镜像目标和镜像源端口

[H3C]monitor-port g0/1
Succeed! the monitor port has been specified to be Trunk port ?and the pvid
changed.
[H3C]mirroring-port g0/15
[H3C]
[H3C]dis mir
Monitor-port:
 ? ? ? ?GigabitEthernet0/1 
Mirroring-port:
 ? ? ? ?GigabitEthernet0/15
[H3C]q
<H3C>save
This will save the configuration in the EEPROM memory
Are you sure?[Y/N]y
Now saving current configuration to EEPROM memory
Please wait for a while...
Current configuration saved to EEPROM memory successfully

1.3 监听明文的主从通信

在主动监听的机器xxx.xxx.xxx.109执行

tcpdump host xxx.xxx.xxx.83 -i eth0 -w hello.dump

xxx.xxx.xxx.83配置了MySQL主库,另外的一台外网机器xxx.xxx.xxx.104配置了MySQL从库.并且该主从并未配置SSL加密.测试中利用xxx.xxx.xxx.109成功监听到MySQL主从的通信.

下图为监听到的MySQL帐号登录,可以得到用户名和加密后的密码：

对于不复杂的MySQL密码,可以很容易通过cmd5等网站解密出明文：

下图为监听到的主从数据：

可以看到,在MySQL主从明文通信的情况下,可以实现有效的窃听.

这里采用的交换机端口镜像需要获得交换机权限,有一定的实施难度.但在外网通信中,实际的网络环境非常复杂且不受我们控制,明文通信仍然有潜在的安全风险.

2 服务器间安全访问

那么如何在服务器之间的外网通信中确保MySQL的安全访问呢?这里介绍几种常用方案.

2.1 加密隧道

加密隧道可以将客户端的网络数据进行加密,然后安全地传输到服务端后进行解密还原.以stunnel为例：

首先在客户端监听3306端口,并建立加密通信,连接到远程的1.2.4.5:8000

/usr/local/stunnel/etc/stunnelclient.conf

sslVersion = TLSv1

CAfile = /usr/local/stunnel/etc/ca-cert.pem

cert = /usr/local/stunnel/etc/clientcert.pem

key = /usr/local/stunnel/etc/clientkey.pem

[mysql]

accept = 127.0.0.1:3306

connect =1.2.4.5:8000

服务端监听8000端口,并将数据解密后转发到本机的3306端口

/usr/local/stunnel/etc/stunnelserver.conf

sslVersion = TLSv1

CAfile = /usr/local/stunnel/etc/ca-cert.pem

cert = /usr/local/stunnel/etc/servercert.pem

key = /usr/local/stunnel/etc/serverkey.pem

[mysql]

accept=8000

connect=127.0.0.1:3306

这样,客户端访问本地3306端口实际会访问到远程1.2.4.5机器的3306端口,实现了通过加密隧道访问远程的MySQL.

优点：无需单独创建外网的MySQL帐号,对本地访问透明.

缺点：只能实现从客户端到服务端的加密访问,需要额外维护加密隧道服务.

2.2 VPN

VPN可以将外网通信转化为虚拟的内网通信,直接解决外网访问的安全问题.以OPENVPN为例：

在其中一边的服务器搭建服务端,配置内网网段

/etc/openvpn/server.conf

port 1194

proto tcp-server

dev tap

#证书相关

ca /etc/openvpn/ca-cert.pem

cert /etc/openvpn/server.pem

key /etc/openvpn/server.key

dh /etc/openvpn/dh.pem

#指定Server端使用的地址

ifconfig 192.168.10.1 255.255.255.0

#指定客户端的IP

client-config-dir /etc/openvpn/ccd

在另一边的服务器搭建客户端,发起VPN链接

/etc/openvpn/client.conf

client

dev tap

proto tcp-client

remote 1.2.3.4 1194

#证书相关

ca /etc/openvpn/ca-cert.pem

cert /etc/openvpn/client1-cert.pem

key /etc/openvpn/client1-key.pem

这样,两边的服务器就建立起虚拟的内网,可以访问相互的MySQL或者其他服务.

优点：两边都可以相互访问,且不限于访问某个端口,特别适合异地机房间的内网互通.

缺点：需要额外维护VPN服务.

2.3?MySQL SSL

除了建立加密隧道、加密虚拟网络,还可以直接使用SSL进行MySQL的访问加密.

2.3.1 SSL证书的生成

首先检查MySQL是否支持SSL.

mysql> SHOW VARIABLES LIKE ‘have_ssl’;

+—————+———-+ | Variable_name | Value

| +—————+———-+ | have_ssl ? ? ?| DISABLED |

+—————+———-+ 1 row in set (0.00 sec)

如果输出如上,说明MySQL支持SSL但未启用.

SSL证书分多种类型,实际中要根据不同用途来使用服务端或客户端的证书.

[mysqld]

# 服务端类型SSL证书,用于服务端,或者主从关系中的主库

ssl-ca=/home/mysql/certs/ca-cert.pem ssl-cert=/home/mysql/certs/server-cert.pem

ssl-key=/home/mysql/certs/server-key.pem

（编辑：ASP站长网）