mysql8.0與mysql5.7安全加密小差異

時間 2020-07-22

標籤 mysql8.0 mysql mysql5.7 安全加密差異欄目 MySQL 简体版

原文原文鏈接

今天升級到了mysql8.0 作主從同步遇到下面問題mysql

2020-07-21T14:09:52.626718Z 13 [ERROR] [MY-010584] [Repl] Slave I/O for channel '': error connecting to master 'slave_replication@172.20.0.2:3306' - retry-time: 60 retries: 1 message: Authentication plugin 'caching_sha2_password' reported error: Authentication requires secure connection. Error_code: MY-002061

簡單看了一下是mysql用戶的安全加密方式的問題，特地看了一下mysql的用戶表
sql

plugin列所有都是caching_sha2_password。數據庫

而mysql5.7支持的方式是mysql_native_password緩存

處理caching_sha2_password，具體解釋以下:安全

使用加密鏈接
2.使用支持 RSA 密鑰對，進行密碼交換的非加密鏈接

以前 change master to 時，未進行配置 master_ssl=1（等效於客戶端 –ssl-mode=REQUIRED 的配置），致使從庫經過複製用戶鏈接主庫時使用的非加密鏈接，同時又沒有進行 RSA 密鑰配置，致使 io 線程運行異常。爲此整理一些關於 MySQL 8.0 認證插件 caching_sha2_password 的一些限制以及 RSA 的相關內容。
1、認證插件 caching_sha2_password服務器

1.1 做用：網絡

用於實現 SHA-256 認證ide

1.2 工做機制：性能

1）caching_sha2_password 會將用戶名和用戶密碼哈希對做爲緩存條目進行緩存，當用戶進行訪問時，會跟緩存條目進行匹配，若是匹配則認證成功。ui

2）若是插件沒有匹配到相應的緩存條目，首先會根據 mysql.user 系統表進行校驗，若是校驗經過會生成相應的緩存條目，下次相同用戶進行訪問時能夠直接命中緩存條目，提高二次認證效率。若是校驗失敗，則認證失敗、訪問拒絕。

1.3 優點（相對於 sha256_password）：

1）caching_sha2_password 認證插件在 MySQL 服務端進行緩存認證條目，對於以前認證過的用戶，能夠提高二次認證的速度。

2）無論與 MySQL 連接的 SSL 庫如何，均可以使用基於 RSA 的密碼交換

3）提供了對使用 Unix 套接字文件和共享內存協議的客戶端鏈接的支持

1.4 緩存管理：

1）當刪除用戶、修改用戶名、修改用戶密碼、修改認證方式會清理相對應的緩存條目

2）Flush Privileges 會清除全部的緩存條目

3）數據庫關閉時會清除全部緩存條目

1.5 限制：

經過 caching_sha2_password 認證的用戶訪問數據庫，只能經過加密的安全鏈接或者使用支持 RSA 密鑰對進行密碼交換的非加密鏈接進行訪問。
2、caching_sha2_password 插件使用 RSA 祕鑰對

2.1祕鑰對生成方式：

1）自動生成

參數 caching_sha2_password_auto_generate_rsa_keys 默認是開啓，數據庫在啓動時自動生成相對應的公鑰和私鑰。

2）手動生成

經過 mysql_ssl_rsa_setup 指定目錄生成 SSL 相關的私鑰和證書以及 RSA 相關的公鑰和私鑰。

2.2 查看 RSA 公鑰值的方式：

經過狀態變量 Caching_sha2_password_rsa_public_key 能夠查看 caching_sha2_password 身份驗證插件使用的 RSA 公鑰值。

2.3 使用 RSA 鍵值對的注意事項：

1）擁有 MySQL 服務器上 RSA 公鑰的客戶端，能夠在鏈接過程當中與服務器進行基於 RSA 密鑰對的密碼交換

2）對於經過使用 caching_sha2_password 和基於 RSA 密鑰對的密碼交換進行身份驗證的賬戶，默認狀況下，MySQL 服務端不會將 RSA 公鑰發送給客戶端，獲取 RSA 公鑰的方式有如下兩種：

A. 客戶端從服務端拷貝相應的 RSA 公鑰，

B. 客戶端發起訪問時，請求獲取 RSA 公鑰。

在 RSA 公鑰文件可靠性可以保證的前提下，拷貝 RSA 公鑰跟請求獲取 RSA 公鑰相比，因爲減小了 c/s 之間的通訊，相對而言更安全。若是在網絡安全前提下，後者相對來講會更方便。

2.4 命令行客戶端經過 RSA 祕鑰對進行訪問：

1）經過拷貝方式獲取RSA公鑰，在經過命令行客戶端進行訪問時，須要在命令行指定 –server-public-key-path 選項來進行訪問

2）經過請求獲取RSA公鑰的方式，在經過命令行客戶端進行訪問時，須要在命令行中指定 –get-server-public-key 選項來進行訪問。

選項 –server-public-key-path 優於 –get-server-public-key

若是還想使用原來的方式，則須要進行以下格式的修改

#從新修改用戶密碼安全加密方式
ALTER USER 'root'@'localhost'
  IDENTIFIED WITH mysql_native_password
  BY 'password';

    #刷新權限
    flush privileges;

相關標籤/搜索

差異

安全保密

加密

mysql8.0&mysql5.7&mysql5.6&mysql5.5

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。