一、SSL介绍

SSL(Secure Socket Layer:安全套接字层)利用数据加密、身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议提供安全性保证。

SSL协议提供的功能主要有:

1、 数据传输的机密性:利用对称密钥算法对传输的数据进行加密。

2.、身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证,其中客户端的身份验证是可选的。

3、 消息完整性验证:消息传输过程中使用MAC算法来检验消息的完整性。

如果用户的传输不是通过SSL的方式,那么其在网络中数据都是以明文进行传输的,而这给别有用心的人带来了可乘之机。所以,现在很多大型网站都开启了SSL功能。同样地,在我们数据库方面,如果客户端连接服务器获取数据不是使用SSL连接,那么在传输过程中,数据就有可能被窃取。

二、MySQL5.7 SSL配置和启用

1、安装时启动SSL

在MySQL5.7安装初始化阶段,我们发现比之前版本多了一步操作,而这个操作就是安装SSL的。

shell> bin/mysqld --initialize --user=mysql    # MySQL 5.7.6 and upshell> bin/mysql_ssl_rsa_setup                 # MySQL 5.7.6 and up

当运行完这个命令后,默认会在data_dir目录下生成以下pem文件,这些文件就是用于启用SSL功能的:

Windows mysql ssl状态 mysql ssl配置_mysql

# ll rwrwrrwrrw#客户端连接服务器端需要提供的私钥文件

-rw    #私钥/公钥对的私有成员

rwr     #私钥/公钥对的共有成员

rwr    #服务器端证书文件

rw

Windows mysql ssl状态 mysql ssl配置_mysql

这时从数据库服务器本地进入MySQL命令行,你可以看到如下变量值:

Windows mysql ssl状态 mysql ssl配置_mysql

root> mysql -h 10.126.xxx.xxx -udba -p
dba:(none) show global variables   Variable_name  Value            have_openssl   YES                         ssl_ca         ca.pem           ssl_capath                      ssl_cert       servercert.pem  ssl_cipher                      ssl_crl                         ssl_crlpath                     ssl_key        server.pem
dba:(none)> \s
--------------

/usr/local/mysql/bin/mysql Ver 14.14 Distrib 5.7.18, for linux-glibc2.5 (x86_64) using EditLine wrapper

Connection id: 2973

Current database:

Current user: dba@10.126.xxx.xxx

SSL: Cipher in use is DHE-RSA-AES256-SHA #表示该dba用户是采用SSL连接到mysql服务器上的,如果不是ssl,那么会显示“Not in use“

Current pager: more

Using outfile: ''

Using delimiter: ;

Server version: 5.7.18-log MySQL Community Server (GPL)

Protocol version: 10

Connection: 10.126.126.160 via TCP/IP

Server characterset: utf8

Db characterset: utf8

Client characterset: utf8

Conn. characterset: utf8

TCP port: 3306

Uptime: 2 hours 35 min 48 sec

Windows mysql ssl状态 mysql ssl配置_mysql

【注意】:如果用户是采用本地localhost或者sock连接数据库,那么不会使用SSL方式了。

2、如果安装MySQL57时没有运行过mysql_ssl_rsa_setup,那么如何开启SSL呢?

1)、关闭MySQL服务2)、运行mysql_ssl_rsa_setup 命令3)、到data_dir目录下修改.pem文件的所属权限用户为mysql

chown -R mysql.mysql *.pem4)、启动MySQL服务

3、强制某用户必须使用SSL连接数据库

#修改已存在用户

ALTER USER 'dba'@'%' REQUIRE SSL;

#新建必须使用SSL用户grant select on *.* to 'dba'@'%' identified by 'xxx' REQUIRE SSL;

对于上面强制使用ssl连接的用户,如果不是使用ssl连接的就会报错,像下面这样:

[root]# /usr/local/mysql/bin/mysql -udba -p -h10.126.xxx.xxx --ssl=0Enter password:

ERROR 1045 (28000): Access denied for user 'dba'@'10.126.xxx.xxx' (using password: YES)

三、未使用SSL和使用SSL安全性对比

【测试方式】在MySQL服务器端通过tshark抓包的方式来模拟窃取数据。验证、对比

未使用SSL和使用SSL两者在安全性上有什么不同?

1 未使用SSL情况:

在客户端机器(10.126.126.161)上连接数据库并进行insert操作,使用--ssl-mode=DISABLED关闭SSL

Windows mysql ssl状态 mysql ssl配置_mysql_05

同时在MySQL服务器端(10.126.126.160)上用tshark进行抓包:

Windows mysql ssl状态 mysql ssl配置_MySQL_06

【结论】未使用SSL情况下,在数据库服务器端可以通过抓包的方式获取数据,安全性不高。

2 采用SSL情况:

在客户端机器(10.126.126.161)上连接数据库并进行insert操作,

使用--ssl-mode=REQUIRED指定SSL

Windows mysql ssl状态 mysql ssl配置_MySQL_07

同时在MySQL服务器端(10.126.126.160)上再次用tshark进行抓包:

Windows mysql ssl状态 mysql ssl配置_mysql_08

【结论】没有抓到该语句,采用SSL加密后,tshark抓不到数据,安全性高。

四、

使用SSL前后性能对比(QPS)

服务器配置:CPU:32核心       内存:128G      磁盘:SSD

为了尽量准确测试QPS,采用全内存查询,因为我们线上热点数据基本都在内存中;按照并发线程数分类:1线程、4线程、8线程、16线程、24线程、32线程、64线程;

Windows mysql ssl状态 mysql ssl配置_mysql SSL 机制_09

具体数据如下:

Windows mysql ssl状态 mysql ssl配置_Windows mysql ssl状态_10

从测试数据可以发现,开启SSL后,数据库QPS平均降低了23%左右,相对还是比较影响性能的。从SSL实现方式来看,建立连接时需要进行握手、加密、解密等操作。所以耗时基本都在建立连接阶段,这对于使用短链接的应用程序可能产生更大的性能损耗,比如采用PHP开发。不过如果使用连接池或者长连接可能会好许多。

五、总结

1、MySQL5.7默认是开启SSL连接,如果强制用户使用SSL连接,那么应用程序的配置也需要明确指定SSL相关参数,否则程序会报错。

2、虽然SSL方式使得安全性提高了,但是相对地使得QPS也降低23%左右。所以要谨慎选择:

2.1、对于非常敏感核心的数据,或者QPS本来就不高的核心数据,可以采用SSL方式保障数据安全性;

2.2、对于采用短链接、要求高性能的应用,或者不产生核心敏感数据的应用,性能和可用性才是首要,建议不要采用SSL方式;