0


Mycat安全设置

🍁 作者:微枫

Micromaple

💒 主页:欢迎关注Micromaple

📌 简介:Java程序员、后端全栈工程师

🔗 点赞👍➕收藏⭐➕留言📝 您的支持就是我前进的动力💪💪💪

大家好,我是微枫

Micromaple

,下面是我的

Mycat

系列专栏(持续更新ing),有喜欢的小伙伴欢迎订阅学习呀

🚀 深入学习Mycat

✨ Mycat系列专栏:点我学习

🔥 Mycat主从搭建、读写分离:点我学习

🔥 Mycat实现分库分表:点我学习

🔥 Mycat实现单库水平分表、按月分表:点我学习

🔥 Mycat高可用方案-HAProxy+Keepalived:点我学习

目录

一、🚩权限配置

1.1、user标签权限控制

目前

Mycat

对于中间件的连接控制并没有做太复杂的控制,目前只做了中间件逻辑库级别的读写权限控制。是通过

server.xml

user

标签进行配置。

 server.xml

 user

部分标签例子:

<username="mycat"defaultAccount="true"><propertyname="password">123456</property><propertyname="schemas">TESTDB</property><propertyname="defaultSchema">TESTDB</property></user><username="user"><propertyname="password">user</property><propertyname="schemas">TESTDB</property><propertyname="readOnly">true</property><propertyname="defaultSchema">TESTDB</property></user>

配置说明

  • name :应用连接中间件逻辑库的用户名
  • password:该用户名对应的密码
  • schemas:应用当前连接的逻辑库中所对应的逻辑表。可以配置一个或多个,多个使用,分开
  • readOnly:是否只读

测试案例

案例一

使用

user

用户,权限为只读,即

readOnly: true

。验证是否可以查询和写入数据。

  • 使用user用户登录,运行命令如下mysql -uuser -puser -h 192.168.110.145 -P8066
  • 切换到TESTDB数据库use TESTDB;
  • 查询orders数据mysql>select*from orders;+--------+------------+-------------+-----------+| id | order_type | customer_id | amount |+--------+------------+-------------+-----------+|1|101|100|100100.00||2|101|100|100300.00||6|102|100|100020.00||3|101|101|120000.00||4|101|101|103000.00||5|102|101|100400.00||400100|102|101|1000.00||400101|102|101|1000.00||400200|102|101|1000.00||400201|102|101|1000.00|+--------+------------+-------------+-----------+10rowsinset(0.09 sec)
  • 执行插入数据SQL``````insertinto orders(id,order_type,customer_id,amount)values(7,101,101,10000);
  • 可以看到运行结果,插入失败,用户只有只读权限,如下:mysql>insertinto orders(id,order_type,customer_id,amount)values(7,101,101,10000);ERROR 1495(HY000): User readonly
案例二

使用

mycat

用户,权限为可读可写,即

readOnly: false

。验证是否可以查询和写入数据。

  • 使用mycat用户登录,运行命令如下mysql -umycat -p123456 -h 192.168.110.145 -P8066
  • 切换到TESTDB数据库use TESTDB;
  • 查询orders数据mysql>select*from orders;+--------+------------+-------------+-----------+| id | order_type | customer_id | amount |+--------+------------+-------------+-----------+|1|101|100|100100.00||2|101|100|100300.00||6|102|100|100020.00||3|101|101|120000.00||4|101|101|103000.00||5|102|101|100400.00||400100|102|101|1000.00||400101|102|101|1000.00||400200|102|101|1000.00||400201|102|101|1000.00|+--------+------------+-------------+-----------+10rowsinset(0.01 sec)
  • 执行插入数据SQL``````insertinto orders(id,order_type,customer_id,amount)values(7,101,101,10000);
  • 可看到运行结果,插入成功,如下:mysql>insertinto orders(id,order_type,customer_id,amount)values(7,101,101,10000);Query OK,1row affected (0.02 sec)

1.2、privileges 标签权限控制

user

标签下的

privileges

标签可以对逻辑库(

schema

)、表(

table

)进行精细化的

DML

权限控制。

privileges

标签下的

check

属性,如为

true

开启权限检查,为

 false

不开启,默认为

false

由于

Mycat

一个用户的

schemas

属性可配置多个逻辑库(

schema

) ,所以

privileges

的下级节点

schema

节点同样可配置多个,对多库多表进行细粒度的

DML

权限控制。

 server.xml

 privileges

部分标签,进行配置

orders

表没有增删改查权限

<username="mycat"defaultAccount="true"><propertyname="password">123456</property><propertyname="schemas">TESTDB</property><propertyname="defaultSchema">TESTDB</property><!--No MyCAT Database selected 错误前会尝试使用该schema作为schema,不设置则为null,报错 --><!-- 表级 DML 权限设置 --><privilegescheck="true"><schemaname="TESTDB"dml="1111"><tablename="orders"dml="0000"></table><!-- <table name="tb02" dml="1111"></table> --></schema></privileges></user>

参数配置说明:

  • check:是否开启
  • DML权限设置配置说明如下
DML

权限增加(insert)更新(update)查询(select)删除(delete)0000❌❌❌❌0010❌❌⭕❌1110⭕❌❌❌1111⭕⭕⭕⭕

测试案例

案例一

使用

mycat

用户,

privileges

配置

orders

表权限为禁止增删改查(

dml="0000"

),验证是否可以查询出数据,验证是否可以写入数据。

  • 重启Mycat,使用mycat用户登录,命令如下:mysql -umycat -p123456 -h 192.168.110.145 -P8066
  • 切换到TESTDB数据库use TESTDB;
  • 查询orders数据select*from orders;
  • 可以看到禁止该用户查询数据,如下:mysql>select*from orders;ERROR 3012(HY000): The statement DML privilege checkisnot passed, reject foruser'mycat'
  • 执行插入数据SQL,如下:insertinto orders(id,order_type,customer_id,amount)values(8,101,101,10000);
  • 可看到运行结果,禁止该用户插入数据,如下:mysql>insertinto orders(id,order_type,customer_id,amount)values(8,101,101,10000);ERROR 3012(HY000): The statement DML privilege checkisnot passed, reject foruser'mycat'
案例二

使用

mycat

用户,

privileges

配置

orders

表权限为可以增删改查(

dml="1111"

),验证是否可以查询出数据,验证是否可以写入数据。

  • 修改配置文件server.xmlnamemycatuser标签部分。内容如下:<username="mycat"defaultAccount="true"><propertyname="password">123456</property><propertyname="schemas">TESTDB</property><propertyname="defaultSchema">TESTDB</property><!--No MyCAT Database selected 错误前会尝试使用该schema作为schema,不设置则为null,报错 --><!-- 表级 DML 权限设置 --><privilegescheck="true"><schemaname="TESTDB"dml="1111"><tablename="orders"dml="1111"></table><!-- <table name="tb02" dml="1111"></table> --></schema></privileges></user>
  • 重启Mycat,使用mycat用户登录,命令如下:mysql -umycat -p123456 -h 192.168.110.145 -P8066
  • 切换到TESTDB数据库use TESTDB;
  • 查询orders数据select*from orders;
  • 可以看到查询数据,如下:mysql>select*from orders;+--------+------------+-------------+-----------+| id | order_type | customer_id | amount |+--------+------------+-------------+-----------+|1|101|100|100100.00||2|101|100|100300.00||6|102|100|100020.00||3|101|101|120000.00||4|101|101|103000.00||5|102|101|100400.00||7|101|101|10000.00||400100|102|101|1000.00||400101|102|101|1000.00||400200|102|101|1000.00||400201|102|101|1000.00|+--------+------------+-------------+-----------+11rowsinset(0.07 sec)
  • 执行插入数据SQL,如下:insertinto orders(id,order_type,customer_id,amount)values(8,101,101,10000);
  • 可看到运行结果,插入成功,如下:mysql>insertinto orders(id,order_type,customer_id,amount)values(8,101,101,10000);Query OK,1row affected (0.01 sec)mysql>select*from orders;+--------+------------+-------------+-----------+| id | order_type | customer_id | amount |+--------+------------+-------------+-----------+|1|101|100|100100.00||2|101|100|100300.00||6|102|100|100020.00||3|101|101|120000.00||4|101|101|103000.00||5|102|101|100400.00||7|101|101|10000.00||8|101|101|10000.00||400100|102|101|1000.00||400101|102|101|1000.00||400200|102|101|1000.00||400201|102|101|1000.00|+--------+------------+-------------+-----------+12rowsinset(0.00 sec)

二、🚧SQL 拦截

firewall

标签用来定义防火墙;

firewall 

whitehost

标签用来定义

IP

白名单 ,

blacklist

用来定义

SQL 

黑名单。

2.1、白名单

可以通过设置白名单,实现某主机某用户可以访问

Mycat

,而其他主机用户禁止访问。

设置白名单步骤如下:

  • 修改server.xml配置文件firewall标签。配置只有192.168.110.146主机可以通过mycat用户访问<firewall><whitehost><hosthost="192.168.110.146"user="mycat"/></whitehost></firewall>- hostIP白名单- user:允许访问的用户
  • 重启Mycat后,在192.168.110.146主机使用mycat用户访问,可以正常访问。如下:# 查看IP地址root@ubuntu-mysql-master:~# <font color="#808000;">ip addr show ens332: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 00:0c:29:30:ff:90 brd ff:ff:ff:ff:ff:ff inet 192.168.110.146/24 brd 192.168.110.255 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80::20c:29ff:fe30:ff90/64 scope link valid_lft forever preferred_lft forever# mycat用户登录Mycatroot@ubuntu-mysql-master:~# mysql -umycat -p123456 -h 192.168.110.145 -P8066mysql: [Warning] Using a password on the command line interface can be insecure.Welcome to the MySQL monitor. Commands end with ; or \g.Your MySQL connection id is 1Server version: 5.6.29-mycat-1.6.7.6-release-20220524173810 MyCat Server (OpenCloudDB)Copyright (c)2000, 2021, Oracle and/or its affiliates.Oracle is a registered trademark of Oracle Corporation and/or itsaffiliates. Other names may be trademarks of their respectiveowners.Type 'help;' or '\h'for help. Type '\c' to clear the current input statement.mysql>
  • 在此主机换user用户登录,禁止访问。如下:# 查看IP地址root@ubuntu-mysql-master:~# ip addr show ens332: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 00:0c:29:30:ff:90 brd ff:ff:ff:ff:ff:ff inet 192.168.110.146/24 brd 192.168.110.255 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80::20c:29ff:fe30:ff90/64 scope link valid_lft forever preferred_lft forever# user用户登录Mycatroot@ubuntu-mysql-master:~# mysql -uuser -puser -h 192.168.110.145 -P8066mysql: [Warning] Using a password on the command line interface can be insecure.ERROR 1045(HY000): Access denied for user 'user' with host'192.168.110.146'
  • 192.168.110.148主机使用mycat用户访问,禁止访问。如下:# 查看IP地址root@ubuntu-mysql-master2:~# ip addr show ens332: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 00:0c:29:c6:3f:01 brd ff:ff:ff:ff:ff:ff inet 192.168.110.148/24 brd 192.168.110.255 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80::20c:29ff:fec6:3f01/64 scope link valid_lft forever preferred_lft forever# mycat用户登录Mycatroot@ubuntu-mysql-master2:~# mysql -umycat -p123456 -h 192.168.110.145 -P8066mysql: [Warning] Using a password on the command line interface can be insecure.ERROR 1045(HY000): Access denied for user 'mycat' with host'192.168.110.148'

2.2、黑名单

可以通过设置黑名单,实现

Mycat

对具体

SQL

操作的拦截,如增删改查等操作的拦截。

设置黑名单步骤如下:

  • 修改server.xml配置文件firewall标签。配置禁止mycat用户进行删除操作。<firewall><whitehost><hosthost="192.168.110.146"user="mycat"/></whitehost><blacklistcheck="true"><propertyname="deleteAllow">false</property></blacklist></firewall>- check:是否开启白名单- deleteAllow:是否允许执行DELETE语句
  • 重启Mycat后,在192.168.110.146主机使用mycat用户访问。mysql -umycat -p123456 -h 192.168.110.145 -P8066
  • 切换到TESTDB数据库use TESTDB;
  • 执行删除语句deletefrom orders where id=7;
  • 运行后发现禁止删除数据,如下:mysql>deletefrom orders where id=7;ERROR 3012(HY000): The statement is unsafe SQL, reject foruser'mycat'

黑名单 SQL 拦截功能属性列表

配置项默认值描述

selelctAllow
true

是否允许执行

SELECT

语句

deleteAllow
true

是否允许执行

DELETE

语句

updateAllow
true

是否允许执行

UPDATE

语句

insertAllow
true

是否允许执行

INSERT

语句

createTableAllow
true

是否允许创建表

setAllow
true

是否允许使用

SET

语法

alterTableAllow
true

是否允许执行

Alter Table

语句

dropTableAllow
true

是否允许修改表

commitAllow
true

是否允许执行

 commit

操作

rollbackAllow
true

是否允许执行

 roll back

操作

读到这里,想必你对

Mycat

安全设置的认识清晰了不少,别忘了三连支持博主呀,我是微枫

micromaple

,期待你的关注💪💪💪


本文转载自: https://blog.csdn.net/qq_41779565/article/details/125590166
版权归原作者 微枫Micromaple 所有, 如有侵权,请联系我们删除。

“Mycat安全设置”的评论:

还没有评论