wordpress 站群,常州网站建设套餐,北京seo网站开发,中国行业研究报告网一、背景#xff1a;使用MySQL5.6过程中#xff0c;发现默认的加密插件为mysql_native_password。而sha256_password的安全程度要比mysql_native_password高#xff0c;尝试切换为sha256_password。二、配置过程#xff1a;资料#xff1a;1、从MySQL官网查询到服务器端sh…一、背景使用MySQL5.6过程中发现默认的加密插件为mysql_native_password。而sha256_password的安全程度要比mysql_native_password高尝试切换为sha256_password。二、配置过程资料1、从MySQL官网查询到服务器端sha256_password无需显式加载可以在MySQL配置文件中配置使能。[mysqld]default-authentication-pluginsha256_password2、据官网描述要启用插件须通过ssl方式进行连接也就是说需要配置相关证书。实现过程】2、安装MySQL下载的的MySQL是zip格式的解压到磁盘后将my-default.ini另存为my.ini(此处看个人爱好可不用)关于my.ini需要修改的地方如下1)basedir datadir port 需要根据自己使用情况配置。2)配置默认启用的加密插件。3、简单配置完mysql配置文件后以管理员方式打开cmd进入第二步解压后的xxxmyql/bin目录。1)执行mysqld -install(tipsmysqld -remove 是卸载mysql)也可以执行服务名称及配置文件路径mysqld install mysql5 --defaults-fileE:\mysql5.6\my.ini2)执行net start mysql5启动MySQL服务(我的服务名称为mysql5上一步install时指定了服务名称如果install时没指定默认就是MySQL)3)输入mysql -uroot -p连接数据库。第一次进入没有密码直接回车。4)进入mysql数据库查询user表的内容发现默认使用的加密插件为mysql_native_password如下图。是不是my.ini配置的sha256_password没有生效呐创建一个用户验证下插件是否生效。执行CREATE USER test01localhost IDENTIFIED BY password;发现默认插件是生效了的。但是默认的root为啥不是sha256_password呢我猜想(只是猜想)可能是假如root用户默认为sha256_password那么使用root连接的话就需要配置相关证书这样使MySQL的安装过程复杂且使用体验降低。使用新创建的用户test01登录数据库因为test01用户使用了sha256_password此时是登录失败的提示身份验证需要SSL加密。所以要使用了sha256_password插件的用户是需要通过SSL加密的也就是需要证书的。5)补充一点安装完成后root用户是没有密码的要设置密码可以执行mysqladmin -u root -p passwordEnter password:直接回车因为此时root时没有密码的接着输入及确认输入自己的密码。至此MySQL的安装已经完成。3.证书制作及使能a 生成一个 CA 私钥openssl genrsa 2048 ca-key.pemb 私钥生成一个新的数字证书openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem ca-cert.pem执行过程中需要填写一些内容如国家、城市、邮箱等根据实际情况填写。c 创建服务侧的私钥及数字证书openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem server-req.pem此时会填写一些内容如b步骤其中有个密码可以直接回车。d 将生成的私钥转换为 RSA 私钥文件格式openssl rsa -in server-key.pem -out server-key.peme 使用CA 证书来生成一个服务器端的数字证书openssl x509 -sha1 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 server-cert.pem至此服务端相关证书已创建成果下面创建客户端证书。f 为客户端生成一个私钥和证书openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem client-req.pem 需要填写问题见步骤bg 将生成的私钥转换为 RSA 私钥文件格式openssl rsa -in client-key.pem -out client-key.pemh 为客户端创建一个数字证书openssl x509 -sha1 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 client-cert.pem至此客户端和服务端证书全部创建完毕生产八个文件如下2)配置证书a 现在数据库中是没有开启SSL的执行命令查看show variables like%ssl%;b 开启SSL方法证书使能在MySQL的配置文件my.ini中指定服务端证书路径ssl-caE:/mysql5.6/cert/ca-cert.pemssl-certE:/mysql5.6/cert/server-cert.pemssl-keyE:/mysql5.6/cert/server-key.pemc 重启MySQL服务执行net stop mysql5停止服务再执行net startmysql5开启服务d 再次执行show variables like%ssl%; 查看SSL已经开启了至此MySQL安装及配置证书过程结束。测试1、上面步骤中在数据库中创建了以sha256_password加密的test01用户密码为password。此时我们用一般的方式连接肯定会报错2、使用开启SSL、指定证书的方式连接就是成功的且通过\s 可以看出SSL信息命令mysql --ssl-caE:\mysql5.6\cert\ca-cert.pem --ssl-certE:\mysql5.6\cert\client-cert.pem --ssl-keyE:\mysql5.6\cert\client-key.pem -u test01 -ppasswor3、当前系统中的root用户还是mysql_native_password的加密方式如果要想将root的加密方式修改的话执行use mysqlupdate user set pluginsha256_password where userroot;结果如下现在以root用户修改root用户的密码执行SET PASSWORD FOR rootlocalhost PASSWORD(1qazWSX);此时执行成功再执行 FLUSH PRIVILEGES; password列已经被修改如下图退出客户端重新连接为啥连不上了使用ssl方式连接失败了但是使用空密码(直接回车)登录是成功的这是为什么呢通过分析之前使用sha256_password创建的test01用户发现test01用户的passwor字段为空authentication_string字段是有值的而此时的root的password是有密文的但authentication_string字段没有值。所以我们能得出2点sha256_password加密的用户密码其实是设置在authentication_string字段上的。root登录时修改密码插件后执行SET PASSWORD FOR rootlocalhost设置密码时当前CMD的session没有实效还是之前的加密插件在生效修改的当然是password字段的值而authentication_string字段的值依旧是空串。最终使用空密码登录后再执行一次设置密码的命令SET PASSWORD FOR rootlocalhost PASSWORD(1qazWSX); FLUSH PRIVILEGES;再退出使用root及新密码登录就是成功的了。附上我的my.ini# For advice on how to change settings please see# http://dev.mysql.com/doc/refman/5.6/en/server-configuration-defaults.html# *** DO NOT EDIT THIS FILE. Its a template which will be copied to the# *** default location during install, and will be replaced ifyou#***upgrade to a newer version of MySQL.[mysqld]# Remove leading # andset to the amount of RAM forthe most important data# cachein MySQL. Start at 70% of total RAM for dedicated server, else 10%.# innodb_buffer_pool_size128M# Remove leading # to turn on a very important data integrity option: logging# changes to the binary log between backups.# log_bin# These are commonlyset, remove the # and set asrequired.basedir E:/mysql5.6datadir E:/mysql5.6/dataport3306# server_id.....default-authentication-pluginsha256_passwordssl-caE:/mysql5.6/cert/ca-cert.pemssl-certE:/mysql5.6/cert/server-cert.pemssl-keyE:/mysql5.6/cert/server-key.pem# Remove leading # toset options mainly useful forreporting servers.# The server defaults are fasterfortransactions and fast SELECTs.# Adjust sizesasneeded, experiment to find the optimal values.# join_buffer_size128M# sort_buffer_size2M# read_rnd_buffer_size2Msql_modeNO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLESView Code
