Início / dba / Perguntas / 333611
Accepted
Potter
Asked: 2023-11-30 22:55:19 +0800 CST

MySQL - Um usuário com a opção "REQUIRE SSL" ainda consegue fazer login sem fornecer nenhum certificado SSL ou CA?

  • 772

Meu servidor MySQL possui os seguintes parâmetros configurados corretamente

mysql> show global variables like '%have_ssl%';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_ssl      | YES   |
+---------------+-------+
1 row in set (0.00 sec)

mysql> show global variables like 'ssl_ca';
+---------------+--------+
| Variable_name | Value  |
+---------------+--------+
| ssl_ca        | ca.pem |
+---------------+--------+
1 row in set (0.00 sec)

mysql> show global variables like 'ssl_cert';
+---------------+-----------------+
| Variable_name | Value           |
+---------------+-----------------+
| ssl_cert      | server-cert.pem |
+---------------+-----------------+
1 row in set (0.00 sec)

mysql> show global variables like 'ssl_key';
+---------------+----------------+
| Variable_name | Value          |
+---------------+----------------+
| ssl_key       | server-key.pem |
+---------------+----------------+
1 row in set (0.00 sec)
mysql> show global variables like 'datadir';
+---------------+---------+
| Variable_name | Value   |
+---------------+---------+
| datadir       | /dados/ |
+---------------+---------+
1 row in set (0.00 sec)

E esses arquivos existem emdatadir

[root@mysqlen1 dados]# ls -l ca.pem server-cert.pem server-key.pem
-rw-r--r-- 1 mysql mysql 1112 Nov  3 10:28 ca.pem
-rw-r--r-- 1 mysql mysql 1112 Nov  3 10:28 server-cert.pem
-rw------- 1 mysql mysql 1680 Nov  3 10:28 server-key.pem

Então eu crio um usuário:

mysql> create user 'teste'@'%' identified by 'teste123' require ssl;
Query OK, 0 rows affected (0.00 sec)

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

Posso me conectar usando os certificados

[root@TCCPUC-ENGDADOS:~]# mysql -uteste -p'teste123' -h 192.168.0.110 --ssl-ca=ca.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem
mysql: [Warning] Using a password on the command line interface can be insecure.
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 30
Server version: 8.0.28 MySQL Community Server - GPL

Copyright (c) 2000, 2023, Oracle and/or its affiliates.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>

Mas sem os certificados também

[root@TCCPUC-ENGDADOS:~]# mysql -uteste -p'teste123' -h 192.168.0.110
mysql: [Warning] Using a password on the command line interface can be insecure.
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 31
Server version: 8.0.28 MySQL Community Server - GPL

Copyright (c) 2000, 2023, Oracle and/or its affiliates.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>

Isso está correto? Posso forçar o usuário a fazer login apenas com esses certificados?

mysql

2 respostas

  1. Best Answer

    Especificar um usuário REQUIRE SSLnão significa que o usuário exija certificados. SSL é para transporte criptografado, mas certificados são para autenticação.

    Você pode criar um usuário com REQUIRE X509a opção de forçar os clientes a usar um certificado.

    • 1

  2. Você pode configurar mysqldusando require_secure_transport

    Se as conexões do cliente com o servidor são necessárias para usar alguma forma de transporte seguro. Quando esta variável está habilitada, o servidor permite apenas conexões TCP/IP criptografadas usando TLS/SSL, ou conexões que utilizam um arquivo de soquete (no Unix) ou memória compartilhada (no Windows). O servidor rejeita tentativas de conexão não segura, que falham com um erro ER_SECURE_TRANSPORT_REQUIRED .

    Esse recurso complementa os requisitos SSL por conta, que têm precedência. Por exemplo, se uma conta for definida com REQUIRE SSL, a ativação de require_secure_transport não possibilita usar a conta para conectar-se usando um arquivo de soquete Unix.

    Configuração de inicialização do lado do servidor para conexões criptografadas

    [mysqld]
ssl_ca=ca.pem
ssl_cert=server-cert.pem
ssl_key=server-key.pem
require_secure_transport=ON
    • 0

relate perguntas