MySQL component_keyring_file файл-ориентированное шифрование

Вопрос или проблема

mysql> SELECT * FROM performance_schema.keyring_component_status;
+---------------------+-------------------------------------------------+
| STATUS_KEY          | STATUS_VALUE                                    |
+---------------------+-------------------------------------------------+
| Component_name      | component_keyring_file                          |
| Author              | Oracle Corporation                              |
| License             | GPL                                             |
| Implementation_name | component_keyring_file                          |
| Version             | 1.0                                             |
| Component_status    | Active                                          |
| Data_file           | /usr/local/mysql/keyring/component_keyring_file |
| Read_only           | No                                              |
+---------------------+-------------------------------------------------+

mysql> SELECT keyring_key_generate('MyKey', 'AES', 32);
ERROR 3188 (HY000): Function 'keyring_key_generate' failed because underlying keyring service returned an error. Please check if a keyring is installed and that provided arguments are valid for the keyring you are using.
mysql> alter table t encryption='y';
ERROR 3185 (HY000): Can't find master key from keyring, please check in the server log if a keyring is loaded and initialized successfully.

Ответ или решение

Для решения проблемы с MySQL компонентом keyring_file на Ubuntu 22.04 LTS с версией MySQL 8.4.3, необходимо последовательно проверить несколько аспектов, которые могут вызывать ошибки при генерации ключей или шифровании таблиц. Мы рассмотрим теорию, дадим пример и предложим практическое применение.

Теория

Компонент keyring_file используется для управления ключами шифрования, хранящимися в файловой системе, и он обеспечивает возможность шифрования данными таблиц в MySQL. Этот компонент требует, чтобы конфигурация MySQL была настроена таким образом, чтобы keyring был корректно загружен и использовался. Основные шаги включают установку компонента, указание пути к файлу keyring и настройку соответствующих разрешений на доступ к файлам.

Пример

Вы уже установили и активировали keyring_file, о чем свидетельствует статус Active в таблице performance_schema.keyring_component_status. Однако возникли ошибки при использовании функции keyring_key_generate и попытке изменить шифрование таблицы.

mysql> SELECT keyring_key_generate('MyKey', 'AES', 32);
ERROR 3188 (HY000): Function 'keyring_key_generate' failed because underlying keyring service returned an error.

Применение

Чтобы устранить возникшие ошибки, выполните следующие действия:

1. Проверьте лог-файлы сервера MySQL. Логи часто содержат точные сообщения об ошибках или предупреждениях, которые могут указать на причину проблемы. Убедитесь, что keyring действительно загружен успешно.

2. Проверьте конфигурацию keyring в my.cnf. Убедитесь, что в файле /etc/mysql/my.cnf или в другом конфигурационном файле MySQL указаны правильные пути и настройки, например:

   [mysqld]
   early-plugin-load=keyring_file.so
   keyring_file_data=/usr/local/mysql/keyring/component_keyring_file

3. Проверьте разрешения и владельца файлов keyring. Вы отметили, что MySQL имеет полный доступ к файлам, но все равно убедитесь, что пользователь, под которым работает MySQL, действительно имеет права на чтение и запись. Также проверьте права доступа к папке /usr/local/mysql/keyring/.

4. Перезагрузите MySQL после внесения изменений. При изменении конфигурации или исправлении прав доступа перезапустите сервер MySQL, чтобы изменения вступили в силу.

5. Проверьте наличие и целостность данных в keyring. Возможно, существующий файл keyring поврежден или не содержит требуемых данных. В крайнем случае, попробуйте удалить текущий файл keyring и перезапустить MySQL, чтобы он создал новый, после чего попытайтесь снова.

Следуя этим шагам, вы должны устранить проблему и успешно сгенерировать ключи, а также использовать их для шифрования таблиц.