MySQL密码复杂度策略设置
MySQL 系统自带有 validate_password 插件,此插件可以验证密码强度,未达到规定强度的密码则不允许被设置。MySQL 5.7 及 8.0 版本默认情况下貌似都不启用该插件,这也使得我们可以随意设置密码,比如设置为 123、123456等。如果我们想从根源上规范密码强度,可以启用该插件,下面一起来看下如何通过此插件来设置密码复杂度策略。
- 查看是否已安装此插件
进入 MySQL 命令行,通过 show plugins;或者show variables like ‘validate%’; 相关参数可以判断是否已安装此插件。若没有相关参数则代表未安装此插件
安装前检查 为空则说明未安装此插件
mysql> show variables like 'validate%';
Empty set(0.42 sec)
- 安装 validate_password 插件,通过 INSTALL PLUGIN 命令可安装此插件,每个平台的文件名后缀都不同 对于 Unix 和类 Unix 系统,为.so,对于 Windows 为.dll
mysql> INSTALL PLUGIN validate_password SONAME 'validate_password.so';
Query OK, 0 rows affected, 1 warning (0.80 sec)
- 查看 validate_password 相关参数
mysql> show variables like 'validate%';+--------------------------------------+--------+| Variable_name | Value |+--------------------------------------+--------+| validate_password_check_user_name | ON || validate_password_dictionary_file ||| validate_password_length | 8 || validate_password_mixed_case_count | 1 || validate_password_number_count | 1 || validate_password_policy | MEDIUM || validate_password_special_char_count | 1 |+--------------------------------------+--------+
7 rows in set(0.01 sec)
- 密码复杂度策略具体设置
例:密码至少 10 位且包含大小写字母、数字、特殊字符
mysql> set global validate_password_length = 10;
Query OK, 0 rows affected (0.00 sec)
mysql> show variables like 'validate%';+--------------------------------------+--------+| Variable_name | Value |+--------------------------------------+--------+| validate_password_check_user_name | ON || validate_password_dictionary_file ||| validate_password_length | 10 || validate_password_mixed_case_count | 1 || validate_password_number_count | 1 || validate_password_policy | MEDIUM || validate_password_special_char_count | 1 |+--------------------------------------+--------+
7 rows in set(0.01 sec)#若想永久生效,建议将以下参数写入配置文件my.cnf
vim /etc/my.cnf
[mysqld]
plugin-load = validate_password.so
validate_password_length = 10
validate_password_policy = 1
validate-password = FORCE_PLUS_PERMANENT
- 密码强度相关参数解释:
1、validate_password_policy:
代表的密码策略,默认是MEDIUM 可配置的值有以下:
0 or LOW 仅需需符合密码长度(由参数validate_password_length指定)
1 or MEDIUM 满足LOW策略,同时还需满足至少有1个数字,小写字母,大写字母和特殊字符
2 or STRONG 满足MEDIUM策略,同时密码不能存在字典文件(dictionary file)中
2、validate_password_dictionary_file:
用于配置密码的字典文件,当validate_password_policy设置为STRONG时可以配置密码字典文件,字典文件中存在的密码不得使用。
3、validate_password_length:
用来设置密码的最小长度,默认值是8
4、validate_password_mixed_case_count:
当validate_password_policy设置为MEDIUM或者STRONG时,密码中至少同时拥有的小写和大写字母的数量,默认是1最小是0;默认是至少拥有一个小写和一个大写字母。
5、validate_password_number_count:
当validate_password_policy设置为MEDIUM或者STRONG时,密码中至少拥有的数字的个数,默认1最小是0
6、validate_password_special_char_count:
当validate_password_policy设置为MEDIUM或者STRONG时,密码中至少拥有的特殊字符的个数,默认1最小是0
MySQL密码策略和登录失败处理
- 查看是否已安装 connection_control% 插件,为空则说明未安装此插件
mysql> show variables like 'connection_control%';
Empty set(0.01 sec)
- 安装插件(windows中为 " connection_control.dll ", liunx中为 " connection_control.so ")
mysql> INSTALL PLUGIN CONNECTION_CONTROL soname 'connection_control.so';
Query OK, 0 rows affected (0.25 sec)
- 查看相关参数
mysql> show variables like 'connection_control%';+-------------------------------------------------+------------+| Variable_name | Value |+-------------------------------------------------+------------+| connection_control_failed_connections_threshold | 3 || connection_control_max_connection_delay | 2147483647 || connection_control_min_connection_delay | 1000 |+-------------------------------------------------+------------+
3 rows in set(0.01 sec)
- 参数解释
1、connection_control_failed_connections_threshold:
单个用户登录失败(由于密码错误引起)次数上限,默认3次
2、connection_control_max_connection_delay:
失败上限之后再次尝试登录前最大等待时间,单位ms
3、connection_control_min_connection_delay:
失败上限之后再次尝试登录前最小等待时间,默认1秒(1000ms)
- 设置单个用户密码登录失败上限次数和等待时间
# 单个用户密码登录失败的上限次数set global connection_control_failed_connections_threshold=5;# 达到失败上限后等待30秒再次尝试登录set global connection_control_min_connection_delay=30000;
- 卸载插件命令
mysql> UNINSTALL PLUGIN CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS;
mysql> UNINSTALL PLUGIN CONNECTION_CONTROL;
MySQL开启SSL
- 检查 MySQL 是否已经开启了SSL
mysql> show variables like "%ssl%";+-------------------------------------+-----------------+| Variable_name | Value |+-------------------------------------+-----------------+| admin_ssl_ca ||| admin_ssl_capath ||| admin_ssl_cert ||| admin_ssl_cipher ||| admin_ssl_crl ||| admin_ssl_crlpath ||| admin_ssl_key ||| have_openssl | YES || have_ssl | YES || mysqlx_ssl_ca ||| mysqlx_ssl_capath ||| mysqlx_ssl_cert ||| mysqlx_ssl_cipher ||| mysqlx_ssl_crl ||| mysqlx_ssl_crlpath ||| mysqlx_ssl_key ||| performance_schema_show_processlist | OFF || ssl_ca | ca.pem || ssl_capath ||| ssl_cert | server-cert.pem || ssl_cipher ||| ssl_crl ||| ssl_crlpath ||| ssl_fips_mode | OFF || ssl_key | server-key.pem || ssl_session_cache_mode | ON || ssl_session_cache_timeout | 300 |+-------------------------------------+-----------------+
27 rows in set(0.01 sec)# have_openssl、have_ssl 参数为YES 代表已经开启,如果是DISABLE则表示没有。
- 如果没有如上参数,则需要停止 MySQL 进行安装
systemctl stop mysqld
#在mysql bin目录下有一个mysql_ssl_rsa_setup文件,执行它开始安装ssl./mysql_ssl_rsa_setup
#安装完成后,会生成一些私钥公钥在mysql data目录下[root@localhost]ll *.pem
-rw------- 1 mysql mysql 1675 Jun 12 17:22 ca-key.pem #CA私钥-rw-r--r-- 1 mysql mysql 1074 Jun 12 17:22 ca.pem #自签的CA证书,客户端连接也需要提供-rw-r--r-- 1 mysql mysql 1078 Jun 12 17:22 client-cert.pem #客户端连接服务器端需要提供的证书文件-rw------- 1 mysql mysql 1675 Jun 12 17:22 client-key.pem #客户端连接服务器端需要提供的私钥文件-rw------- 1 mysql mysql 1675 Jun 12 17:22 private_key.pem #私钥/公钥对的私有成员-rw-r--r-- 1 mysql mysql 451 Jun 12 17:22 public_key.pem #私钥/公钥对的共有成员-rw-r--r-- 1 mysql mysql 1078 Jun 12 17:22 server-cert.pem #服务器端证书文件-rw------- 1 mysql mysql 1675 Jun 12 17:22 server-key.pem #服务器端私钥文件#注意这些密钥的权限问题,如果需要则执行:chown -R mysql.mysql *.pem
- 添加ssl参数到my.cnf配置文件
[mysqld]
ssl-ca=/usr/local/mysql/data/ca.pem
ssl-cert=/usr/local/mysql/data/client-cert.pem
ssl-key=/usr/local/mysql/data/client-key.pem
[mysql]
ssl-ca=/usr/local/mysql/data/ca.pem
ssl-cert=/usr/local/mysql/data/client-cert.pem
ssl-key=/usr/local/mysql/data/client-key.pem
- 启动 MySQL 后,登录查看 ssl 状态
systemctl start mysqld
mysql> show variables like "%ssl%";
- 使用 \s 或 status 命令查看当前 mysql 连接是否使用了ssl
mysql> \s
--------------
mysql Ver 8.0.32 for Linux on x86_64 (MySQL Community Server - GPL)
Connection id: 17
Current database:
Current user: root@localhost
SSL: Not in use # 这里表示没有使用ssl
Current pager: stdout
Using outfile: ''Using delimiter: ;
Server version: 8.0.32 MySQL Community Server - GPL
Protocol version: 10
Connection: Localhost via UNIX socket
Server characterset: utf8mb4
Db characterset: utf8mb4
Client characterset: utf8mb4
Conn. characterset: utf8mb4
UNIX socket: /var/lib/mysql/mysql.sock
Binary data as: Hexadecimal
Uptime: 2 days 8 min 15 sec
Threads: 3 Questions: 45 Slow queries: 0 Opens: 152 Flush tables: 3 Open tables: 71 Queries per second avg: 0.000
--------------# 如果不想使用ssl则登录时添加如下参数:
mysql -uroot -proot --ssl=0 或
mysql -uroot -proot --ssl-mode=DISABLED
- 如何设置某用户使用强制使用ssl
#新建用户
mysql> grant select on *.* to 'dba'@'%' identified by 'xxx' REQUIRE SSL;#修改用户
mysql> ALTER USER 'dba'@'%' REQUIRE SSL;#刷新权限
flush privileges;
MySQL开启日志审计
- 查看是否开启审计日志
mysql> show global variables like '%general%';+------------------+------------------------------+| Variable_name | Value |+------------------+------------------------------+| general_log | OFF || general_log_file |/var/lib/mysql/localhost.log |+------------------+------------------------------+
2 rows in set(0.18 sec)
mysql> show global variables like 'log_timestamps';+----------------+-------+| Variable_name | Value |+----------------+-------+| log_timestamps | UTC |+----------------+-------+
1 row in set(0.01 sec)
- 临时开启审计功能 临时开启的在MySQL重启后会自动失效,需要重新设置。
mysql> set global general_log = on;#on为开启,off为关闭
mysql> set global general_log_file = "/var/lib/mysql/localhost.log ";#审计信息存储位置
mysql> set global log_timestamps = SYSTEM;#设置日志文件的输出时间为系统时间
- 永久开启审计功能
vim /etc/my.cnf
[mysqld]
general_log = on
general_log_file = /var/lib/mysql/localhost.log
log_timestamps = SYSTEM
#重启mysql
systemctl restart mysqld
版权归原作者 weixin_46106069 所有, 如有侵权,请联系我们删除。