MySQL的SSL加密鏈接與性能開銷

本文轉載自:http://www.innomysql.net/article/23959.html
(只做轉載, 不表明本站和博主贊成文中觀點或證明文中信息)

Contents [hide]

• 1 前言
• 2 何爲SSL
• 3 MySQL 5.7的SSL配置與使用
• 4 SSL性能測試
• 5 總結

前言

在生產環境下，安全老是沒法忽視的問題，數據庫安全則是重中之重，由於全部的數據都存放在數據庫中。MySQL在5.7版本以前對於安全問題的確考慮並不充分，致使存在比較大的隱患，好比下面的這些問題，可能有些小夥伴知道，有些卻還不知道：
1.MySQL數據庫默認安裝的用戶密碼爲空
2.全部用戶擁有對於MySQL默認安裝test數據庫的訪問權限（即便沒有授予權限）

好在Oracle官方也已經意識到安全的重要性，MySQL 5.7開始安裝完成後的root用戶的密碼再也不是空，而是在安裝時隨機產生一個密碼，這也致使了用戶安裝5.7時發現的與5.6版本比較大的一個不一樣點。其次，官方已經刪除了test數據庫，默認安裝完後是沒有test數據庫的。更爲重要的是，MySQL 5.7版本提供了更爲簡單SSL安全訪問配置，而且默認鏈接就採用SSL的加密方式。

何爲SSL

首先看下維基百科是如何定義SSL的：

Transport Layer Security (TLS) and its predecessor, Secure Sockets Layer (SSL), both of which are frequently referred to as ‘SSL’, are cryptographic protocols designed to provide communications security over a computer network.

從上面的定義來看，SSL指的是SSL/TLS，其是一種爲了在計算機網絡進行安全通訊的加密協議。假設用戶的傳輸不是經過SSL的方式，那麼其在網絡中以明文的方式進行傳輸，而這給別有用心的人帶來了可乘之機。因此，如今不少網站其實默認已經開啓了SSL功能，好比Facebook、Twtter、YouTube、淘寶等。

在數據庫領域，以前Inside君去某公司作技術交流時，該公司介紹其運維平臺可以對一些敏感字段作處理，好比取出的密碼或資金數據用***來表示，那麼DBA就沒法看到這部分的私人數據內容。這自己是一個很不錯的安全處理方式，但若DBA在本地裝一個相似tcpdump的工具，則依然可以經過獲取獲得的包獲得想要的數據。所以，除了在程序端進行展現的安全處理，還需在MySQL服務器端開啓安全的加密通訊功能，這時就是SSL發揮功能的時候了。

MySQL 5.7的SSL配置與使用

若是仔細閱讀MySQL 5.7的安裝文檔INSTALL-BINARY，會發現5.7的安裝文檔在初始化數據目錄以後還額外多作了一個操做，這是以前版本所沒有的操做，而該步驟便是對於SSL的安裝與配置：

1 2 3 4

...... shell> bin /mysqld --initialize --user=mysql shell> bin /mysql_ssl_rsa_setup ......

運行完命令mysql_ssl_rsa_setup後會發現數據目錄下多出了一些以pem結尾的文件，而這些文件就是開啓SSL鏈接所須要的文件：

1 2 3 4 5 6 7 8 9

root@ test -1: /usr/local/mysql/data # ls -lh *.pem -rw------- 1 mysql mysql 1.7K Nov 25 14:12 ca-key.pem -rw-r--r-- 1 mysql mysql 1.1K Nov 25 14:12 ca.pem -rw-r--r-- 1 mysql mysql 1.1K Nov 25 14:12 client-cert.pem -rw------- 1 mysql mysql 1.7K Nov 25 14:12 client-key.pem -rw------- 1 mysql mysql 1.7K Nov 25 14:12 private_key.pem -rw-r--r-- 1 mysql mysql  451 Nov 25 14:12 public_key.pem -rw-r--r-- 1 mysql mysql 1.1K Nov 25 14:12 server-cert.pem -rw------- 1 mysql mysql 1.7K Nov 25 14:12 server-key.pem

若這時啓動MySQL數據庫並啓動應該能夠發現以下狀態：

1 2 3 4 5 6 7

mysql>SHOW VARIABLES LIKE  'have_ssl' ; +---------------+-------+ | Variable_name | Value | +---------------+-------+ | have_ssl      | YES   | +---------------+-------+ 1 row  in set (0.00 sec)

該參數表示MySQL服務器開啓了SSL功能，而在MySQL 5.7版本下默認就會使用SSL的方式來進行鏈接，好比：

1 2 3 4 5 6 7 8 9

root@ test -1:~ # mysql -h10.166.224.32 -udavid mysql> \s -------------- mysql  Ver 14.14 Distrib 5.7.9,  for linux-glibc2.5 (x86_64) using  EditLine wrapper Connection  id :      6119 Current database: Current user:       david@10.166.224.32 SSL:            Cipher  in use is DHE-RSA-AES256-SHA ......

經過STATUS的SSL列就能判斷鏈接的用戶是否使用了SSL，好比上述例子中的Cipher in use is DHE-RSA-AES256-SHA就表示當前david用戶是經過SSL的方式進行鏈接。若在建立用戶時，但願該用戶每次必須經過SSL方式，則需在建立用戶經過REQUIRE SSL來進行設置，對於上述的david用戶，能夠經過以下方式來進行修改以確保每次經過SSL進行鏈接，強制不使用SSL進行鏈接則報錯：

1 2 3 4

mysql> ALTER USER david@ '%' REQUIRE SSL; ...... root@ test -1:~ # mysql -h10.166.224.32 -udavid --ssl=0 ERROR 1045 (28000): Access denied  for user  'david' @ '10.166.224.32' (using password: YES)

MySQL 5.6一樣支持以SSL的方式進行鏈接，可是操做相對5.7較爲複雜，用戶須要本身經過openssl命令來建立各種公密鑰，具體能夠查看相關官方文檔。

SSL性能測試

相信不少小夥伴關心開啓SSL加密鏈接後的性能表現，不能否認的是啓用SSL加密鏈接後，性能必然會有降低。這裏的測試採用全內存SELECT主鍵的方式，所以能夠認爲是最壞狀況的SSL性能開銷：

上述的測試是在Inside君的雲主機環境下，雲主機配置只有4核CPU，故QPS值總體不高，可是應該可以發現開啓SSL後的性能開銷在25%左右。
另外，因爲SSL開銷較大的環節在創建鏈接，因此短連接的開銷可能會更大，所以推薦使用長鏈接或者鏈接池的方式來減少SSL所帶來的額外開銷，不過好在MySQL的應用習慣大部分也是長鏈接的方式。

總結

1. MySQL 5.7配置SSL要比5.6來的簡單的多
2. MySQL 5.7客戶端默認開啓SSL加密鏈接
3. 一般來講，開啓SSL加密鏈接後，性能最大的開銷在25%左右