Вопрос или проблема
Мне нужно сделать аутентификацию в MariaDB немного безопаснее, чем по умолчанию. Я пытался настроить поддержку SSL для этого, но нашел только старую инструкцию здесь:
Как включить MySQL SSL на Ubuntu
Я следовал этой инструкции, однако после проверки получил следующее:
MariaDB [(none)]> show variables like "%ssl%";
+---------------+----------------------------+
| Variable_name | Value |
+---------------+----------------------------+
| have_openssl | NO |
| have_ssl | DISABLED |
| ssl_ca | /etc/mysql/ca-cert.pem |
| ssl_capath | |
| ssl_cert | /etc/mysql/server-cert.pem |
| ssl_cipher | |
| ssl_crl | |
| ssl_crlpath | |
| ssl_key | /etc/mysql/server-key.pem |
+---------------+----------------------------+
9 rows in set (0.00 sec)
MariaDB [(none)]> \s
...
SSL: not in use
...
Этот источник был написан в 2011 году. Возможно, он устарел, или я допустил ошибку где-то. При генерации .pem никаких ошибок не возникало. Мой файл /var/log/mysql/error.log пуст.
У вас есть какие-нибудь идеи?
Чтобы включить ssl в mariadb, ваша версия должна быть скомпилирована с поддержкой ssl (have_ssl | DISABLED), и вам нужно включить его в настройках mysql:
# grep -Ri ssl /etc/mysql/my.cnf
ssl = true
ssl-ca = /etc/mysql/cacert.pem
ssl-cert = /etc/mysql/server-cert.pem
ssl-key = /etc/mysql/server-key.pem
после перезапуска или процесса mysql ssl должен быть включен.
замечание
этот ответ из другого вопроса помог мне избавиться от этой ошибки:
ERROR 2026 (HY000): SSL connection error: tlsv1 alert unknown ca
Я создал удостоверяющий центр Ubuntu 18.04.3. Проверил все, что с ним связано. Корень, сертификат, цепочка ключей работают.
MariaDB [(none)]>
MariaDB [(none)]>
MariaDB [(none)]>
MariaDB [(none)]> SHOW VARIABLES LIKE '%ssl%';
+---------------------+---------------------------------+
| Variable_name | Value |
+---------------------+---------------------------------+
| have_openssl | YES |
| have_ssl | YES |
| ssl_ca | /etc/mysql/ssl/ca-cert.pem |
| ssl_capath | |
| ssl_cert | /etc/mysql/ssl/mariadb-cert.pem |
| ssl_cipher | DHE-RSA-AES256-SHA |
| ssl_crl | |
| ssl_crlpath | |
| ssl_key | /etc/mysql/ssl/mariadb-key.pem |
| version_ssl_library | OpenSSL 1.1.1c 28 May 2019 |
+---------------------+---------------------------------+
mysql Ver 15.1 Distrib 10.4.8-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2
Connection id: 37
Current database:
Current user: sa@localhost
SSL: Not in use
Current pager: stdout
Using outfile: ''
Using delimiter: ;
Server: MariaDB
Server version: 10.4.8-MariaDB-1:10.4.8+maria~bionic mariadb.org binary distribution
Protocol version: 10
Connection: Localhost via UNIX socket
Server characterset: latin1
Db characterset: latin1
Client characterset: utf8
Conn. characterset: utf8
UNIX socket: /var/run/mysqld/mysqld.sock
Uptime: 19 hours 5 min 57 sec
Threads: 7 Questions: 66 Slow queries: 0 Opens: 31 Flush tables: 1 Open tables: 25 Queries per second avg: 0.000
--------------
MariaDB [(none)]>
Я следовал процессу онлайн для CA и создания MariaDB SSL ключей.
Я сделал my.cnf так, чтобы ключи отображались выше. В файле /etc/mysql/mariadb.cnf находятся ключи. У меня установлен репозиторий Mariadb для обновлений.
Вот my.cnf:
[mysqld]
ssl = true
ssl-ca = /etc/mysql/ssl/ca-cert.pem
ssl-cert = /etc/mysql/ssl/mariadb-cert.pem
ssl-key = /etc/mysql/ssl/mariadb-key.pem
log_error=/var/log/mysql/mysql_error.log
ssl-cipher=DHE-RSA-AES256-SHA
grep -Ri ssl /etc/mysql/my.cnf
ssl = true
ssl-ca = /etc/mysql/ssl/ca-cert.pem
ssl-cert = /etc/mysql/ssl/mariadb-cert.pem
ssl-key = /etc/mysql/ssl/mariadb-key.pem
ssl-cipher=DHE-RSA-AES256-SHA
ssl-cipher entry can be removed.
Ответ или решение
Включение SSL в MariaDB является необходимым шагом для повышения безопасности аутентификации и предотвращения прослушивания данных. На основе предоставленного описания, вы уже проделали большую часть работы, но давайте рассмотрим шаги с начала до конца для уверенного включения SSL в MariaDB, особенно если вы сталкиваетесь с проблемами.
Установите и настройте SSL в MariaDB
1. Проверьте наличие SSL в вашей версии MariaDB
Перед настройкой SSL убедитесь, что ваша версия MariaDB поддерживает SSL. Это можно выяснить с помощью команды:
SHOW VARIABLES LIKE '%ssl%';Вы должны увидеть have_openssl и have_ssl со значением YES, если SSL поддерживается.
2. Генерация SSL-сертификатов
Если вы еще не создали необходимые SSL-сертификаты и ключи, выполните следующие команды для их генерации:
openssl genrsa 2048 > /etc/mysql/ssl/ca-key.pem
openssl req -new -x509 -nodes -days 3600 -key /etc/mysql/ssl/ca-key.pem -out /etc/mysql/ssl/ca-cert.pem
openssl req -newkey rsa:2048 -days 3600 -nodes -keyout /etc/mysql/ssl/server-key.pem -out /etc/mysql/ssl/server-req.pem
openssl rsa -in /etc/mysql/ssl/server-key.pem -out /etc/mysql/ssl/server-key.pem
openssl x509 -req -in /etc/mysql/ssl/server-req.pem -days 3600 -CA /etc/mysql/ssl/ca-cert.pem -CAkey /etc/mysql/ssl/ca-key.pem -set_serial 01 -out /etc/mysql/ssl/server-cert.pem3. Обновите конфигурацию MariaDB
Отредактируйте файл конфигурации MariaDB, обычно это /etc/mysql/my.cnf или /etc/mysql/mariadb.cnf. Добавьте или измените следующие строки в секции [mysqld]:
[mysqld]
ssl = true
ssl-ca = /etc/mysql/ssl/ca-cert.pem
ssl-cert = /etc/mysql/ssl/server-cert.pem
ssl-key = /etc/mysql/ssl/server-key.pemЕсли у вас присутствует ssl-cipher, можете удалить его, как было упомянуто в примере, поскольку могут быть конфликты с поддерживаемыми шифрами.
4. Перезагрузите службу MariaDB
После обновления конфигурации перезапустите MariaDB, чтобы изменения вступили в силу:
sudo systemctl restart mariadb5. Проверка работы SSL
После перезагрузки выполните команду для проверки статуса SSL:
SHOW VARIABLES LIKE '%ssl%';Также убедитесь, что исполнение команды STATUS в MariaDB показывает, что SSL в использовании.
Заключение
Следуя вышеуказанным шагам, вы должны успешно включить SSL в MariaDB. Это увеличит безопасность ваших данных, защищая их от несанкционированного доступа. Если проблема сохраняется, убедитесь, что пути к сертификатам указывают на правильные файлы и что они имеют корректные права доступа для MariaDB.
Подписывайтесь на новые тенденции в области безопасности данных, чтобы сохранять вашу информацию защищённой.