测试带有 --ssl-mode=REQUIRED 给定 --host 的 mysql shell 在不首先提供用户名、密码、数据库名称的情况下真的可以工作吗？

如果您只是想测试客户端在无法建立 SSL 时抛出错误，那么一种快速而肮脏的方法是将这两者结合起来：

• 只需使用虚假的用户名和密码连接
• 强制客户端使用错误的密码使 ssl 握手失败--ssl-cipher SEED-SHA

您应该始终看到“SSL 失败”而不是“密码错误”的错误。尝试--ssl-mode=REQUIRED打开和关闭以验证它是抛出错误还是回退到明文。

如果你想检查服务器是否支持 SSL（以及支持到什么程度），那么像 nmap 这样的东西会更好。确保你有一个更新版本的 nmap，然后使用类似这样的东西来检查 SSL 状态，例如：

nmap --script ssl-enum-ciphers MyServerName -p 3306

如果不出意外，您始终可以使用数据包捕获/wireshark 验证连接是否在 SSL 之前发送凭据，尽管它有一个学习曲线。

就像你提到的，如果你可以与控制服务器的人一起工作，这很简单，选项如下：

• 使用基于证书的身份验证，因此不会传输任何秘密
• 在服务器端需要 ssl，（如果它是面向互联网的，则应该要求）
• 在连接到 MySql 之前控制与 VPN 或 SSH 的连接

但这并不总是可能的

结果nmap- 这感觉就像是完成这项工作的合适工具！

nmap --script ssl-enum-ciphers  customerid-mysql.services.mywebhost.com -p 3306
Starting Nmap 7.93 ( https://nmap.org ) at 2022-12-16 01:39 CET
Nmap scan report for customerid-mysql.services.mywebhost.com (XXX.XX.X.XX)
Host is up (0.016s latency).
rDNS record for XXX.XX.X.XX: web20.mywebhost.com

PORT     STATE SERVICE
3306/tcp open  mysql
| ssl-enum-ciphers: 
|   TLSv1.2: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 4096) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 4096) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 4096) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 4096) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 4096) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 4096) - A
|     compressors: 
|       NULL
|     cipher preference: client
|     warnings: 
|       Key exchange (dh 2048) of lower strength than certificate key
|       Key exchange (secp256r1) of lower strength than certificate key
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 3.23 seconds

与andmysql组合的结果--ssl-cipher--ssl-mode

$ mysql --ssl-cipher SEED-SHA  -h customerID-mysql.services.mywebhost.com -u fakeUser -p --ssl-mode=DISABLED 
Enter password: 
ERROR 1045 (28000): Access denied for user 'fakeUser'@'XX.XXX.XX.XX' (using password: YES)

• ❌ 服务器接受明文。
• ✅ 但我们只破坏了虚假数据。
• ✅ 没有伤害。最大风险确定。

$ mysql --ssl-cipher SEED-SHA  -h customerID-mysql.services.mywebhost.com -u fakeUser -p --ssl-mode=REQUIRED 
Enter password: 
ERROR 2026 (HY000): SSL connection error: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure

• ✅ 服务器因密码错误而中止。
• ℹ️ 从理论上我们知道这会在发送凭据之前开始。
• ✅ 所以对于那些有知识的人来说，这是一个足够好的预测试。

$ mysql --ssl-cipher SEED-SHA  -h customerID-mysql.services.mywebhost.com -u fakeUser -p --ssl-mode=PREFERRED
Enter password: 
ERROR 2026 (HY000): SSL connection error: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure

• ✅ 同样，当我们用 PREFERRED 试探服务器但提供了错误的密码时，服务器会选择安全的选择并终止。
• ✅ 感觉不寒而栗。此外，我不明白为什么 --ssl-cipher SEED-SHA 是一个错误的密码，以及在哪些条件下进行了测试。

$ mysql  -h customerID-mysql.services.mywebhost.com -u fakeUser -p --ssl-mode=REQUIRED 
Enter password: 
ERROR 1045 (28000): Access denied for user 'fakeUser'@'77.119.77.94' (using password: YES)

• ❓ 不确定如何解释：
• ❌虽然我要求协议继续（至少提交用户名，幸运的是它只是'fakeUser'。
• ❓但是这个请求中是否也发送了密码？